في هذه المقالة
dropdown icon
معلومات جديدة ومتغيرة
    معلومات جديدة ومتغيرة
dropdown icon
ابدأ باستخدام أمان البيانات الهجين متعدد المستأجرين
    dropdown icon
    نظرة عامة على أمان البيانات الهجينة متعددة المستأجرين
      كيف يوفر أمان البيانات الهجين متعدد المستأجرين سيادة البيانات والتحكم فيها
      حدود أمان البيانات الهجينة متعددة المستأجرين
      الأدوار في أمن البيانات الهجينة متعددة المستأجرين
    dropdown icon
    هندسة مجال الأمن
      عوالم الفصل (بدون أمان البيانات الهجين)
    التعاون مع المنظمات الأخرى
    توقعات بشأن نشر أمن البيانات الهجين
    عملية الإعداد رفيع المستوى
    dropdown icon
    نموذج نشر أمن البيانات الهجين
      نموذج نشر أمن البيانات الهجين
    dropdown icon
    مركز بيانات احتياطي للتعافي من الكوارث
      التحويل اليدوي إلى مركز بيانات احتياطي
    دعم البروكسي
dropdown icon
إعداد بيئتك
    dropdown icon
    متطلبات أمن البيانات الهجينة متعددة المستأجرين
      متطلبات ترخيص Cisco Webex
      متطلبات سطح مكتب Docker
      متطلبات شهادة X.509
      متطلبات المضيف الافتراضي
      متطلبات خادم قاعدة البيانات
      متطلبات الاتصال الخارجية
      متطلبات الخادم الوكيل
    أكمل المتطلبات الأساسية لأمن البيانات الهجينة
dropdown icon
إعداد مجموعة أمان البيانات الهجينة
    سير عمل نشر أمان البيانات الهجينة
    قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت
    إنشاء ملف ISO للتكوين لمضيفات HDS
    تثبيت HDS Host OVA
    إعداد جهاز VM للأمان الهجين للبيانات
    تحميل وتثبيت ISO لتكوين HDS
    تكوين عقدة HDS لتكامل الوكيل
    تسجيل العقدة الأولى في المجموعة
    إنشاء وتسجيل المزيد من العقد
dropdown icon
إدارة منظمات المستأجرين على أمان البيانات الهجين متعدد المستأجرين
    تفعيل HDS متعدد المستأجرين على Partner Hub
    إضافة المنظمات المستأجرة في مركز الشركاء
    إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS
    إزالة المنظمات المستأجرة
    إلغاء مفاتيح إدارة المستأجرين الذين تمت إزالتهم من HDS.
dropdown icon
اختبار نشر أمان البيانات الهجين الخاص بك
    اختبار نشر أمان البيانات الهجينة لديك
    مراقبة صحة وأمان البيانات الهجينة
dropdown icon
إدارة نشر HDS الخاص بك
    إدارة نشر HDS
    تعيين جدول ترقية المجموعة
    تغيير تكوين العقدة
    إيقاف تشغيل وضع دقة DNS الخارجي المحظور
    إزالة عقدة
    استعادة الكوارث باستخدام مركز البيانات الاحتياطي
    (اختياري) إلغاء تثبيت ISO بعد تكوين HDS
dropdown icon
استكشاف أخطاء أمان البيانات الهجينة وإصلاحها
    عرض التنبيهات واستكشاف الأخطاء وإصلاحها
    dropdown icon
    التنبيهات
      المشكلات الشائعة وخطوات حلها
    استكشاف أخطاء أمان البيانات الهجينة وإصلاحها
dropdown icon
ملاحظات أخرى
    المشكلات المعروفة المتعلقة بأمان البيانات الهجينة
    تشغيل أداة إعداد HDS باستخدام Podman Desktop
    dropdown icon
    نقل نشر HDS الحالي للمستأجر الفردي لمؤسسة شريكة في Control Hub إلى إعداد HDS متعدد المستأجرين في Partner Hub
      إلغاء تنشيط HDS وإلغاء تسجيل العقد وحذف المجموعة في Control Hub
      قم بتنشيط HDS متعدد المستأجرين للمنظمة الشريكة على Partner Hub وأضف العملاء
    استخدام OpenSSL لإنشاء ملف PKCS12
    حركة المرور بين عقد HDS والسحابة
    dropdown icon
    تكوين وكلاء Squid لأمان البيانات الهجينة
      لا يمكن ل Websocket الاتصال من خلال وكيل الحبار
dropdown icon
إلغاء تنشيط أمان البيانات الهجينة متعددة المستأجرين
    سير عمل إلغاء تنشيط HDS متعدد المستأجرين
22 مايو 2025 | 6 طريقة (طرق) العرض | 0 اعتقد أشخاص أن هذا كان مفيدًا

دليل النشر لأمن البيانات الهجينة متعددة المستأجرين (HDS) (إصدار تجريبي)

list-menuفي هذه المقالة
list-menuهل لديك ملاحظات؟

المعلومات الجديدة والمتغيرة

المعلومات الجديدة والمتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات على المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمن البيانات الهجينة متعدد المستأجرين.

التاريخ

التغييرات التي تمت

30 يناير 2025

تم إضافة إصدار خادم SQL 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.

15 يناير 2025

تم إضافة قيود على أمان البيانات الهجينة متعددة المستأجرين.

8 يناير 2025

تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر على إعداد على بطاقة HDS في Partner Hub هو خطوة مهمة في عملية التثبيت.

7 يناير 2025

تم تحديث متطلبات المضيف الظاهري، وتدفق مهام نشر Hybrid Data Security، وقم بتثبيت OVA لمضيف HDS لإظهار متطلبات جديدة لـ ESXi 7.0.

13 ديسمبر 2024

نشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعدد المستأجرين

تدفق مهام إلغاء تنشيط HDS للمستأجرين متعددين

اتبع هذه الخطوات لإلغاء تنشيط HDS متعدد المستأجرين بشكل كامل.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة فقط بواسطة مسؤول الشريك بصلاحيات كاملة.
1

قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة مؤسسات المستأجر.

2

إبطال وحدات CMK الخاصة بجميع العملاء، كما هو مذكور في إبطال وحدات CMK الخاصة بالمستأجرين الذين تم إزالتهم من HDS..

3

قم بإزالة جميع العقد من جميع المجموعات الخاصة بك، كما هو مذكور في إزالة عقدة.

4

احذف مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين.

  • انقر على المجموعة التي ترغب في حذفها، وحدد حذف هذه المجموعة في الزاوية العلوية اليمنى من صفحة النظرة العامة.
  • في صفحة الموارد، انقر على ... على الجانب الأيمن من مجموعة نظام وحدد إزالة المجموعة.
5

انقر على علامة التبويب الإعدادات في صفحة نظرة عامة على Hybrid Data Security وانقر على إلغاء تنشيط HDS في بطاقة حالة HDS.

بدء استخدام أمان البيانات الهجينة متعدد المستأجرين

نظرة عامة على أمان البيانات الهجينة لمستأجرين متعددين

اعتبارًا من اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف، والذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام المفاتيح الديناميكية المخزنة في KMS على السحابة، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يعمل أمان البيانات الهجينة متعدد المستأجرين على تمكين المؤسسات من الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه أن يؤدي دور موفر الخدمة ويدير التشفير في الموقع وغير ذلك من الخدمات الأمنية. يسمح هذا الإعداد للمؤسسة الشريكة بالتحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أمان بيانات المستخدمين لمؤسسات العملاء من الوصول الخارجي. تقوم المؤسسات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن أن يدعم كل مثيل العديد من مؤسسات العملاء على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

في حين أن المؤسسات الشريكة تتحكم في عملية النشر والإدارة، فإنها لا تملك صلاحية الوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر الوصول على مؤسسات العملاء ومستخدميها.

وهذا يسمح أيضًا للمؤسسات الأصغر بالاستفادة من نظام HDS، حيث أن خدمة إدارة المفاتيح والبنية التحتية الأمنية مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجينة متعدد المستأجرين سيادة البيانات والتحكم فيها

  • المحتوى الذي ينشئه المستخدم محمي من الوصول الخارجي، مثل موفري الخدمات السحابية.
  • يدير الشركاء المحليون الموثوق بهم مفاتيح التشفير للعملاء الذين لديهم بالفعل علاقة راسخة.
  • خيار الدعم الفني المحلي، إذا قدمه الشريك.
  • تدعم محتوى الاجتماعات والمراسلة والاتصال.

يهدف هذا المستند إلى مساعدة المؤسسات الشريكة على إعداد وإدارة العملاء تحت نظام Hybrid Data Security متعدد المستأجرين.

قيود أمان البيانات الهجينة متعددة المستأجرين

  • يجب ألا يكون لدى المؤسسات الشريكة أي نشر حالي لـ HDS نشط في Control Hub.
  • يجب ألا يكون لدى مؤسسات المستأجر أو العملاء التي ترغب في أن يديرها الشريك أي عملية نشر حالية لـ HDS في Control Hub.
  • بمجرد نشر HDS متعدد المستأجرين بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء وكذلك مستخدمي مؤسسة الشريك في الاستفادة من HDS متعدد المستأجرين لخدمات التشفير الخاصة بهم.

    ستكون المؤسسة الشريكة ومؤسسات العملاء التي تديرها على نفس عملية نشر HDS متعددة المستأجرين.

    لن تستخدم مؤسسة الشريك نظام KMS السحابي بعد الآن بعد نشر HDS متعدد المستأجرين.

  • لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
  • في الوقت الحالي، يمكن أن يحتوي كل نشر لشبكة HDS متعددة المستأجرين على مجموعة واحدة فقط، وتحتها عقد متعددة.
  • تتضمن أدوار المسؤول قيودًا معينة؛ ارجع إلى القسم أدناه لمعرفة التفاصيل.

الأدوار في أمان البيانات الهجينة متعددة المستأجرين

  • مسؤول الشريك بصلاحيات كاملة - يمكنه إدارة إعدادات جميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
  • مسؤول الشريك - يمكنه إدارة إعدادات العملاء التي قام المسؤول بتوفيرها أو التي تم تعيينها للمستخدم.
  • المسؤول الكامل - مسؤول المؤسسة الشريكة المصرح له بتنفيذ مهام مثل تعديل إعدادات المؤسسة وإدارة التراخيص وتعيين الأدوار.
  • إعداد وإدارة HDS متعدد المستأجرين بشكل شامل لجميع مؤسسات العملاء - المسؤول الكامل عن الشريك وحقوق المسؤول الكامل المطلوبة.
  • إدارة مؤسسات المستأجرين المعينة - مطلوب المسؤول الشريك وحقوق المسؤول الكامل.

بنية نطاق الأمان

تفصل بنية سحابة Webex بين أنواع الخدمة المختلفة إلى مجالات منفصلة أو مجالات ثقة، كما هو موضح أدناه.

نطاقات الفصل (بدون أمان البيانات الهجينة)

لفهم أمان البيانات الهجينة، دعنا نلقي نظرة أولاً على حالة السحابة النقية هذه، حيث توفر شركة Cisco جميع الوظائف في نطاقات السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يرتبط فيه المستخدمون بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيًا وجسديًا عن نطاق الأمان في مركز البيانات ب. كلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات ج.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

  1. يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم خادم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.

  2. يتم تشفير الرسالة قبل مغادرة العميل. يرسله العميل إلى خدمة الفهرسة، التي تنشئ فهرسات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.

  3. يتم إرسال الرسالة المشفرة إلى خدمة الامتثال من أجل فحوص الامتثال.

  4. يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر أمان البيانات الهجينة، فإنك تنقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع الخاص بك. تظل الخدمات السحابية الأخرى التي تشكل Webex (والتي تشمل الهوية وتخزين المحتوى) موجودة في نطاقات Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة مملوكة لمؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة مؤمنة ECDH. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، فإن KMS لديك توجه الطلب إلى Webex على السحابة من خلال قناة منفصلة لحقوق الإنسان ECDH للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. ارجع إلى إعداد بيئتك لمعرفة تفاصيل عن إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security متعدد المستأجرين.

توقعات نشر Hybrid Data Security

يتطلب نشر Hybrid Data Security التزامًا كبيرًا والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجينة، يجب أن توفر:

سيؤدي الفقدان الكامل لتكوين ISO الذي تقوم بإنشائه لأمن البيانات الهجينة أو قاعدة البيانات التي توفرها إلى فقدان المفاتيح. يمنع فقدان المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط ظاهرًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

  • إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.

  • كن مستعدًا لإجراء التعافي السريع من الكوارث في حالة وقوع كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة عملية نشر Hybrid Data Security متعددة المستأجرين:

  • إعداد أمان البيانات الهجينة— يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج أمان البيانات الهجينة، وبناء مجموعة نظام HDS، وإضافة مؤسسات المستأجرين إلى مجموعة النظام، وإدارة المفاتيح الرئيسية لعملائها (CMK). سيؤدي هذا إلى تمكين جميع المستخدمين في مؤسسات العملاء لديك من استخدام مجموعة Hybrid Data Security لوظائف الأمان.

    يتم تناول مراحل الإعداد والتنشيط والإدارة بالتفصيل في الفصول الثلاثة التالية.

  • الحفاظ على نشر Hybrid Data Security الخاص بك— توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك توفير دعم من المستوى الأول لهذا النشر، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Partner Hub.

  • فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة— إذا واجهتك مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وتذييل المشاكل المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر Hybrid Data Security

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العُقد على مضيفين افتراضيين. تتصل العقد بسحابة Webex من خلال مآخذ ويب آمنة وHTTP آمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على VMs التي توفرها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة Hybrid Data Security خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server المقدم. (يمكنك تكوين Syslogd وتفاصيل اتصال قاعدة البيانات في أداة إعداد HDS.)

نموذج نشر Hybrid Data Security

الحد الأدنى لعدد العُقد التي يمكن أن تكون موجودة في نظام المجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عُقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تصل جميع العقد في مجموعة النظام إلى نفس مخزن بيانات المفتاح، وتسجيل نشاط السجل إلى نفس خادم سجل النظام. العُقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة روبن مستديرة، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Partner Hub. لإزالة عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا دعت الحاجة لذلك.

مركز البيانات الاحتياطي للتعافي من الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات آمن في حالة الاستعداد. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر الخاصة بك إلى مركز البيانات الاحتياطي.

قبل تجاوز الفشل، يحتوي Data Center A على عُقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، في حين يحتوي B على نسخة من ملف ISO مع تكوينات إضافية وVMs المسجلة في المؤسسة وقاعدة بيانات احتياطية. بعد تجاوز الفشل، يحتوي مركز البيانات B على عقد HDS وقاعدة البيانات الأساسية النشطة، بينما يحتوي A على VMs غير مسجلة ونسخة من ملف ISO، وقاعدة البيانات في وضع الاستعداد.
تجاوز الفشل اليدوي إلى مركز بيانات الاستعداد

قواعد البيانات الخاصة بمراكز البيانات النشطة والاحتياطية متزامنة مع بعضها البعض مما يقلل الوقت المستغرق لتنفيذ تجاوز الفشل.

يجب أن تكون عُقد Hybrid Data Security النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

  • لا يوجد وكيل— يكون الإعداد الافتراضي إذا كنت لا تستخدم تكوين مخزن الثقة والوكيل لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.

  • وكيل شفاف غير فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.

  • نفق شفاف أو وكيل فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).

  • وكيل صريح— من خلال وكيل صريح، يمكنك إخبار عُقد HDS بخادم الوكيل ونظام المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— بناءً على ما يدعمه الخادم الوكيل، اختر من بين البروتوكولات التالية:

      • HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.

      • HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمان البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة متعدد المستأجرين:

  • المؤسسات الشريكة: اتصل بشريك Cisco أو مدير حسابك وتأكد من تمكين ميزة المستأجر المتعدد.

  • مؤسسات المستأجر: يجب أن يكون لديك Pro Pack في Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قام Docker بتحديث نموذج الترخيص الخاص به مؤخرًا. قد تتطلب مؤسستك اشتراك مدفوع لـ Docker Desktop. للحصول على التفاصيل، ارجع إلى منشور مدونة Docker، "يقوم Docker بتحديث اشتراكات منتجاتنا وتوسيع نطاقها".

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادات بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر Hybrid Data Security

المتطلبات

التفاصيل

  • موقعّة بواسطة مرجع مصدق موثوق به (CA)

بشكل افتراضي، نحن نثق في جهات التنسيق الإدارية الموجودة في قائمة Mozilla (باستثناء WoSign وStartCom) على https://wiki.mozilla.org/CA:IncludedCAs.

  • يحمل اسم مجال "اسم مشترك" (CN) يحدد عملية نشر Hybrid Data Security

  • ليست شهادة حرف بدل

لا يلزم أن يكون CN قابلاً للوصول إليه أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، hds.company.com.

يجب ألا يحتوي CN على * (حرف بدل).

يتم استخدام CN للتحقق من عُقد Hybrid Data Security لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS الخاص بك نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN.

بمجرد تسجيل عقدة باستخدام هذه الشهادة، لا ندعم تغيير اسم مجال CN.

  • توقيع غير SHA1

لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.

  • تم تنسيقه كملف PKCS #12 محمي بكلمة مرور

  • استخدم الاسم الودي kms-private-key لتمييز الشهادة والمفتاح الخاص وأي شهادات وسيطة ليتم تحميلها.

يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك.

سيتعين عليك إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض جهات منح الشهادات تطبيق قيود استخدام المفاتيح الموسعة على كل شهادة، مثل مصادقة الخادم. من المقبول استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يتمتع المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك بالمتطلبات التالية:

  • تم وضع مضيفان منفصلان على الأقل (3 موصى به) في نفس مركز البيانات الآمن

  • VMware ESXi 7.0 (أو إصدار أحدث) مثبت وقيد التشغيل.

    يجب الترقية إذا كان لديك إصدار سابق من ESXi.

  • الحد الأدنى 4 وحدات معالجة مركزية vCPU، والذاكرة الرئيسية 8 جيجابايت، ومساحة القرص الصلب المحلية 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. تقوم تطبيقات HDS، عند تثبيتها، بإنشاء مخطط قاعدة البيانات.

يوجد خياران لخادم قاعدة البيانات. المتطلبات الخاصة بكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بريدSQL

خادم Microsoft SQL

  • PostgreSQL 14 أو 15 أو 16 مثبتة وقيد التشغيل.

  • تم تثبيت SQL Server 2016 أو 2017 أو 2019 أو 2022 (المؤسسة أو Standard).

    يتطلب SQL Server 2016 Service Pack 2 وCumulative Update 2 أو إصدار أحدث.

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

بريدSQL

خادم Microsoft SQL

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت ترغب في أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

  • يجب مزامنة عُقد HDS والبنية التحتية لـ Active Directory وخادم MS SQL مع NTP.

  • يجب أن يكون لدى حساب Windows الذي تقدمه إلى عُقد HDS صلاحية الوصول للقراءة/الكتابة إلى قاعدة البيانات.

  • يجب أن تكون خوادم DNS التي تقدمها إلى عُقد HDS قادرة على حل مركز توزيع المفاتيح (KDC) الخاص بك.

  • يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL Server كاسم أساسي للخدمة (SPN) على Active Directory الخاص بك. ارجع إلى تسجيل الاسم الأساسي للخدمة لاتصالات Kerberos.

    تحتاج أداة إعداد HDS ومطلق HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح. وهم يستخدمون التفاصيل الواردة في تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق

البروتوكول

المنفذ

الاتجاه من التطبيق

الوجهة

عُقد أمان البيانات الهجينة

TCP

443

HTTPS وWSS الصادرة

  • خوادم Webex:

    • * .wbx2.com

    • *.ciscospark.com

  • كل مضيفين Common Identity

  • عناوين URL الأخرى المدرجة في أمان البيانات الهجينة في جدول عناوين URL الإضافية لخدمات Webex الهجينةمتطلبات الشبكة لخدمات Webex

أداة إعداد HDS

TCP

443

HTTPS الصادر

  • * .wbx2.com

  • كل مضيفين Common Identity

  • hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عُقد Hybrid Data Security، يجب ألا تكون أي منافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفين الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة

عناوين URL لمضيف الهوية الشائعة

الأمريكتان

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

الاتحاد الأوروبي

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

كندا

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

سنغافورة

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

الإمارات العربية المتحدة

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

متطلبات الخادم الوكيل

  • نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

    • وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

    • وكيل صريح - الحبار.

      يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للعمل على هذه المشكلة، ارجع إلى تكوين وكلاء Squid لأمن البيانات الهجينة.

  • نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:

    • لا توجد مصادقة باستخدام HTTP أو HTTPS

    • المصادقة الأساسية باستخدام HTTP أو HTTPS

    • تلخيص المصادقة باستخدام HTTPS فقط

  • للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.

  • يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.

  • قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيؤدي تجاوز (عدم فحص) حركة المرور إلى wbx2.com ciscospark.com إلى حل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من أنك جاهز لتثبيت وتهيئة مجموعة Hybrid Data Security.
1

تأكد من تمكين ميزة HDS متعددة المستأجرين في مؤسسة شريكك، واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل لدى الشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex لديك من أجل Pro Pack في Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير حسابك للحصول على المساعدة بشأن هذه العملية.

يجب ألا يكون لدى مؤسسات العملاء أي نشر حالي لـ HDS.

2

اختر اسم مجال لنشر HDS (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.

3

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (3 موصى بها) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.

4

قم بتهيئة خادم قاعدة البيانات الذي سيعمل كمخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب وضع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين.

  1. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، تقوم بإنشاء مخطط قاعدة البيانات.)

  2. اجمع التفاصيل التي ستستخدم العقد للاتصال بخادم قاعدة البيانات:

    • اسم المضيف أو عنوان IP (المضيف) والمنفذ

    • اسم قاعدة البيانات (dbname) لتخزين المفاتيح

    • اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح

5

للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM.

6

قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان الشبكة ومنفذ سجل النظام (الإعداد الافتراضي هو UDP 514).

7

قم بإنشاء سياسة نسخ احتياطي آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات التي لا يمكن استردادها، يجب أن تقوم بنسخ قاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه من أجل عُقد Hybrid Data Security.

نظرًا لأن عُقد Hybrid Data Security تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان لا يمكن إصلاحه لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذلك قد لا يظهر انقطاع الخدمة على الفور ولكن سيصبح واضحًا بمرور الوقت. في حين أنه من المستحيل منع الانقطاع المؤقت، إلا أنه قابل للاسترداد. ومع ذلك، فإن الفقدان الكامل (لا توجد نسخ احتياطية متوفرة) إما لقاعدة البيانات أو ملف ISO للتكوين سيؤدي إلى بيانات العميل غير قابلة للاسترداد. من المتوقع أن يقوم مشغلو Hybrid Data Security بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO الخاص بالتكوين، وأن يكونوا على استعداد لإعادة بناء مركز بيانات Hybrid Data Security في حالة حدوث فشل كارثي.

8

تأكد من أن تكوين جدار الحماية يسمح بإمكانية الاتصال لعقد Hybrid Data Security الخاصة بك كما هو موضح في متطلبات الاتصال الخارجي.

9

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يقوم بتشغيل نظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) باستخدام مستعرض ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

يمكنك استخدام مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. للحصول على مزيد من المعلومات، ارجع إلى متطلبات سطح مكتب Docker .

لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي إمكانية الاتصال الموضحة في متطلبات الاتصال الخارجي.

10

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

قبل البدء

1

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.

2

قم بإنشاء ISO للتكوين لمضيفين HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.

3

تثبيت مضيف HDS OVA

قم بإنشاء جهاز ظاهري من ملف OVA وقم بتنفيذ التكوين المبدئي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

4

إعداد Hybrid Data Security VM

سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تكن قد قمت بتكوينها في وقت نشر OVA.

5

تحميل ISO لتكوين HDS وتثبيته

قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

6

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين الوكيل، فحدد نوع الوكيل الذي ستستخدمه للعُقدة، وأضف شهادة الوكيل إلى المخزن الموثوق به إذا دعت الحاجة لذلك.

7

تسجيل أول عقدة في المجموعة

قم بتسجيل VM باستخدام Cisco Webex Cloud كعقدة Hybrid Data Security.

8

إنشاء وتسجيل المزيد من العُقد

أكمل إعداد مجموعة النظام.

9

تنشيط HDS متعدد المستأجرين على Partner Hub.

قم بتنشيط HDS وإدارة مؤسسات المستأجرين على Partner Hub.

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1

سجّل الدخول إلى Partner Hub، ثم انقر على الخدمات.

2

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security، ثم انقر على إعداد.

يعد النقر على إعداد في Partner Hub أمرًا مهمًا لعملية النشر. لا تقم بمتابعة التثبيت دون إكمال هذه الخطوة.

3

انقر على إضافة مورد وانقر على تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج .

لن تتوافق الإصدارات القديمة من حزمة البرامج (OVA) مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى حدوث مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم التعليمات . انقر على الإعدادات > تعليمات > تنزيل برنامج Hybrid Data Security.

يبدأ ملف OVA تلقائيًا في التنزيل. احفظ الملف في موقع على جهازك.
4

بشكل اختياري، انقر على الاطلاع على دليل نشر أمان البيانات الهجينة للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا أم لا.

قم بإنشاء ISO للتكوين لمضيفين HDS

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

قبل البدء
1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، لديك هذه الخيارات:

  • لا— إذا كنت تقوم بإنشاء أول عقدة HDS لديك، فلن يكون لديك ملف ISO ليتم تحميله.
  • نعم— إذا قمت بإنشاء عقد HDS بالفعل، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.
10

تحقق من أن شهادة X.509 الخاصة بك تفي بالمتطلبات الواردة في متطلبات شهادة X.509.

  • إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، وانقر على متابعة.
  • إذا كانت شهادتك موافق، فانقر على متابعة.
  • إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لا من أجل متابعة استخدام سلسلة شهادات HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.
11

أدخل عنوان قاعدة البيانات والحساب لـ HDS للوصول إلى مخزن بيانات المفتاح:

  1. حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

    إذا اخترت Microsoft SQL Server، فستحصل على حقل "نوع المصادقة".

  2. (Microsoft SQL Server فقط) حدد نوع المصادقة لديك:

    • المصادقة الأساسية: تحتاج إلى اسم حساب SQL Server محلي في حقل اسم المستخدم .

    • مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم .

  3. أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

    مثال:
    dbhost.example.org:1433 أو 198.51.100.17:1433

    يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا تعذر على العقد استخدام DNS لحل اسم المضيف.

    إذا كنت تستخدم مصادقة Windows، فيجب إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433

  4. أدخل اسم قاعدة البيانات.

  5. أدخل اسم المستخدم وكلمة المرور الخاصة بمستخدم يتمتع بجميع الامتيازات في قاعدة بيانات تخزين المفاتيح.

12

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عُقد HDS من TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فتحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

يتطلب TLS والتحقق من موقِّع الشهادة

لا يمكن تطبيق هذا الوضع لقواعد بيانات SQL Server.

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

يتطلب TLS والتحقق من توقيع الشهادة واسم المضيف

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

  • تتحقق العقد أيضًا من أن اسم المضيف الموجود في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، أو ينقطع الاتصال عن العقدة.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقّع الشهادة واسم المضيف، إن أمكن. في حالة فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ والاستمرار في عملية الإعداد. (بسبب الاختلافات في الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختبارها بنجاح.)

13

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

  1. أدخل عنوان URL لخادم سجل النظام.

    إذا لم يكن الخادم قادرًا على حل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

    مثال:
    udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd رقم 10.92.43.23 على منفذ UDP رقم 514.

  2. إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فحدد هل تم تكوين خادم سجل النظام لتشفير SSL؟.

    إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.

  3. من القائمة المنسدلة اختيار إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: اختر ما إذا كان يتم استخدام سطر جديد لـ Graylog وRsyslog TCP

    • بايت فارغة -- \x00

    • سطر جديد -- \n— حدد هذا الخيار لـ Graylog وRsyslog TCP.

  4. انقر على متابعة.

14

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxالحجم: 10
15

انقر على متابعة في شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتكون كلمات مرور حسابات الخدمة من تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو عندما ترغب في إعادة تعيينها لإلغاء صلاحية ملفات ISO السابقة.

16

انقر على تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

17

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي.

حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

18

لإيقاف أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بنسخ ملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العُقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع النسخ من ملف ISO، فقد أيضا المفتاح الرئيسي. لا يمكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا أبدًا نسخة من هذا المفتاح ولا يمكننا المساعدة إذا فقدته.

تثبيت مضيف HDS OVA

استخدم هذا الإجراء لإنشاء جهاز ظاهري من ملف OVA.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.

2

حدد ملف > نشر قالب OVF.

3

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر على التالي.

4

في صفحة تحديد اسم ومجلد ، أدخل اسم جهاز ظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن توجد فيه نشر عقدة الجهاز الظاهري، ثم انقر على التالي.

5

في صفحة تحديد مورد حساب ، اختر مورد حساب الوجهة، ثم انقر على التالي.

يتم تشغيل التحقق من الصحة. بعد الانتهاء، تظهر تفاصيل القالب.

6

تحقق من تفاصيل القالب ثم انقر على التالي.

7

إذا طُلب منك اختيار تكوين المورد في صفحة التكوين ، فانقر على 4 وحدة المعالجة المركزية ثم انقر على التالي.

8

في صفحة تحديد التخزين ، انقر على التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.

9

في صفحة تحديد الشبكات ، حدد خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.

10

في صفحة تخصيص قالب ، قم بتكوين إعدادات الشبكة التالية:

  • اسم المضيف— أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف كلمة واحدة للعُقدة.

    • لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

    • لضمان التسجيل بنجاح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعُقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.

    • يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا.

  • عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

    يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

  • قناع— أدخل عنوان قناع الشبكة الفرعية في رمز عشري. على سبيل المثال، 255.255.255.0.
  • البوابة— أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
  • خوادم DNS— أدخل قائمة بخوادم DNS مفصولة بفواصل، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
  • خوادم NTP— أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة.

  • قم بنشر كل العقد على نفس الشبكة الفرعية أو VLAN، بحيث يمكن الوصول إلى كل العقد في المجموعة من العملاء في شبكتك لأغراض إدارية.

في حال تفضيل ذلك، يمكنك تخطي تكوين إعداد الشبكة واتباع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة تحكم العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

11

انقر بزر الماوس الأيمن على العقدة VM، ثم اختر التشغيل > التشغيل.

تم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن مستعد لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لبضع دقائق قبل وصول حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والذي لا يمكنك تسجيل الدخول خلاله.

إعداد Hybrid Data Security VM

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security لأول مرة وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1

في عميل VMware vSphere، حدد VM node Hybrid Data Security وحدد علامة التبويب وحدة التحكم .

يتم تشغيل VM وتظهر مطالبة لتسجيل الدخول. إذا لم يتم عرض المطالبة بتسجيل الدخول، فاضغط على Enter.
2

استخدم تسجيل الدخول الافتراضي وكلمة المرور التالية لتسجيل الدخول وتغيير بيانات الاعتماد:

  1. تسجيل الدخول: المسؤول

  2. كلمة المرور: سيسكو

بما أنك تقوم بتسجيل الدخول إلى VM لأول مرة، يتعين عليك تغيير كلمة مرور المسؤول.

3

إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت OVA مضيف HDS، فتجاهل بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين .

4

إعداد تكوين ثابت باستخدام عنوان IP وقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

5

(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة لديك.

لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

6

احفظ تكوين الشبكة وأعد تشغيل VM حتى تسري التغييرات.

تحميل ISO لتكوين HDS وتثبيته

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحتوي على المفتاح الرئيسي، يجب أن يتم عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أنظمة إدارة البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى مخزن البيانات.

1

تحميل ملف ISO من جهاز الكمبيوتر:

  1. في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.

  2. في قائمة الأجهزة من علامة تبويب التكوين، انقر على التخزين.

  3. في قائمة مخزن البيانات، انقر بزر الماوس الأيمن على مخزن بيانات ملفات VM الخاصة بك وانقر على استعراض مخزن البيانات.

  4. انقر على رمز تحميل الملفات، ثم انقر على تحميل ملف.

  5. استعرض الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر على فتح.

  6. انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار مخزن البيانات.

2

تركيب ملف ISO:

  1. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  2. انقر على موافق لقبول تحذير خيارات التحرير المقيدة.

  3. انقر على CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO مخزن بيانات، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين فيه.

  4. حدد خيار متصل والاتصال عند التشغيل.

  5. احفظ تغييراتك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات لديك تتطلب، فيمكنك بشكل اختياري إلغاء تثبيت ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

1

أدخل عنوان URL لإعداد عقدة HDS https://[HDS Node IP أو FQDN]/الإعداد في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.

2

انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا:

  • لا يوجد وكيل— الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة.
  • وكيل غير فحص شفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.
  • وكيل الفحص الشفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
  • وكيل صريح— باستخدام وكيل صريح، يمكنك إخبار العميل (عُقد HDS) بخادم الوكيل الذي سيتم استخدامه، ويدعم هذا الخيار العديد من أنواع المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— اختر http (يعرض جميع الطلبات التي يتم استلامها من العميل ويتحكم فيها) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر لبروكسيات HTTP أو HTTPS.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر لبروكسيات HTTP أو HTTPS.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر لبروكسيات HTTPS فقط.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.

3

انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل.

تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.

4

انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل.

إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك الاستمرار في الإعداد، وستعمل العقدة في وضع تحليل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا الخطأ، فقم باستكمال هذه الخطوات، ثم ارجع إلى إيقاف تشغيل وضع تحليل DNS الخارجي المحظور.

5

بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.

6

انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا.

تتم إعادة تشغيل العقدة في غضون بضع دقائق.

7

بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء.

يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل أول عقدة في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة بسحابة Webex، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على واحد أو أكثر من العُقد التي تم نشرها لتوفير التكرار.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security وانقر على إعداد.

4

في الصفحة التي يتم فتحها، انقر على إضافة مورد.

5

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي ترغب في تعيين عقدة Hybrid Data Security لها.

نوصي بتسمية مجموعة بناءً على موقع عقد المجموعة جغرافيًا. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

6

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في Webex.
7

انقر على الانتقال إلى العقدة.

بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

8

حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9

انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

في صفحة أمن البيانات الهجينة ، يتم عرض مجموعة النظام الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة تبويب الموارد . ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العُقد

لإضافة عقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء وحدات VM إضافية وتركيب نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

قم بإنشاء جهاز ظاهري جديد من OVA، وكرر الخطوات الواردة في تثبيت HDS Host OVA.

2

قم بإعداد التكوين الأولي على VM الجديد، وكرر الخطوات الواردة في إعداد Hybrid Data Security VM.

3

في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت ISO لتكوين HDS.

4

إذا كنت تقوم بإعداد وكيل للنشر، فكرر الخطوات الواردة في تكوين عقدة HDS لدمج الوكيل حسب الحاجة للعقدة الجديدة.

5

تسجيل العقدة.

  1. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

  2. في قسم الخدمات السحابية، ابحث عن بطاقة أمان البيانات الهجينة وانقر على عرض الكل.

    تظهر صفحة موارد Hybrid Data Security.

  3. ستظهر مجموعة النظام التي تم إنشاؤها حديثًا في صفحة الموارد .

  4. انقر على المجموعة لعرض العقد المعينة للمجموعة.

  5. انقر على إضافة عقدة على الجانب الأيمن من الشاشة.

  6. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة.

    تفتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسستك للوصول إلى العقدة الخاصة بك.

  7. حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

    تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.

  8. انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

    تظهر الرسالة المنبثقة التي تمت إضافة العقدة أيضًا في أسفل الشاشة في Partner Hub.

    تم تسجيل العقدة الخاصة بك.

إدارة مؤسسات المستأجرين على "أمان البيانات الهجينة متعددة المستأجرين"

تنشيط HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من بدء الاستفادة من HDS لمفاتيح التشفير الداخلية والخدمات الأمنية الأخرى.

قبل البدء

تأكد من إكمال إعداد مجموعة HDS متعددة المستأجرين باستخدام العدد المطلوب من العقد.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

4

انقر على تنشيط HDS على بطاقة حالة HDS .

إضافة مؤسسات مستأجرة في Partner Hub

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة Hybrid Data Security الخاصة بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

انقر على المجموعة التي تريد تعيين العميل لها.

5

انتقل إلى علامة تبويب العملاء المعينين .

6

انقر على إضافة عملاء.

7

حدد العميل الذي تريد إضافته من القائمة المنسدلة.

8

انقر على إضافة، ستتم إضافة العميل إلى مجموعة النظام.

9

كرر الخطوات من 6 إلى 8 لإضافة عملاء متعددين إلى المجموعة الخاصة بك.

10

انقر على تم في الجزء السفلي من الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو مفصل في إنشاء المفاتيح الرئيسية للعملاء (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء المفاتيح الرئيسية للعملاء (CMK) باستخدام أداة إعداد HDS

قبل البدء

قم بتعيين العملاء إلى المجموعة المناسبة كما هو مفصل في إضافة مؤسسات مستأجر في Partner Hub. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد لمؤسسات العملاء المضافة حديثًا.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

تأكد من الاتصال بقاعدة البيانات الخاصة بك لتنفيذ إدارة CMK.
11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إنشاء CMK لجميع المؤسسات أو إنشاء CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإنشاء CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إنشاء ملفات CMK لإنشاء ملفات CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على … بالقرب من حالة انتظار إدارة CMK لمؤسسة معينة في الجدول وانقر على إنشاء CMK لإنشاء CMK لتلك المؤسسة.
12

بمجرد نجاح إنشاء CMK، ستتغير الحالة الموجودة في الجدول من إدارة CMK معلقة إلى إدارة CMK.

13

إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة مؤسسات المستأجر

قبل البدء

بمجرد إزالتها، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسيفقدون كل المساحات الحالية. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب لديك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

في علامة تبويب الموارد ، انقر على المجموعة التي تريد إزالة مؤسسات العملاء منها.

5

في الصفحة التي يتم فتحها، انقر على العملاء المعينين.

6

من قائمة مؤسسات العملاء التي يتم عرضها، انقر على ... على الجانب الأيمن من مؤسسة العميل التي ترغب في إزالتها وانقر على إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إبطال CMK لمؤسسات العملاء كما هو مفصل في إبطال CMK للمستأجرين الذين تمت إزالتهم من HDS.

إبطال وحدات CMK للمستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

قم بإزالة العملاء من المجموعة المناسبة كما هو مفصل في إزالة مؤسسات المستأجر. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة لمؤسسات العملاء التي تمت إزالتها.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إبطال ملف CMK لجميع المؤسسات أو إبطال ملف CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإبطال ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إلغاء ملفات CMK لإلغاء ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على بالقرب من حالة CMK المراد إبطاله لمؤسسة معينة في الجدول، وانقر على إبطال CMK لإبطال CMK لتلك المؤسسة المحددة.
12

بمجرد نجاح إبطال CMK، لن تظهر مؤسسة العميل في الجدول بعد الآن.

13

إذا لم ينجح إبطال CMK، فسيتم عرض خطأ.

اختبار نشر Hybrid Data Security الخاص بك

اختبار نشر Hybrid Data Security الخاص بك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير Hybrid Data Security متعددة المستأجرين.

قبل البدء

  • قم بإعداد نشر Hybrid Data Security متعدد المستأجرين.

  • تأكد من امتلاكك صلاحية الوصول إلى سجل النظام للتحقق من تمرير طلبات المفاتيح إلى عملية نشر Hybrid Data Security متعددة المستأجرين.

1

يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. سجّل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر Hybrid Data Security، فلن يتاح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون بمجرد استبدال النسخ المخزنة مؤقتًا من مفاتيح التشفير.

2

إرسال الرسائل إلى المساحة الجديدة.

3

تحقق من مخرجات سجل النظام للتحقق من أن طلبات المفاتيح تنتقل إلى نشر Hybrid Data Security الخاص بك.

  1. للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_collection:

    يجب العثور على إدخال مثل ما يلي (المعرفات مختصرة من أجل قابلية القراءة):
    2020-07-21 17:35:34.562 (+0000) معلومات KMS [pool-14-thread-1] - [KMS:REQUEST] تم استلامها، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ إيدهي كيد: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_collection, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. للتحقق من مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية في kms.data.method=retrieve وkms.data.type=KEY:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:19.889 (+0000) معلومات KMS [pool-14-thread-31] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. للتحقق من مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية في kms.data.method=create وkms.data.type=KEY_collection:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:21.975 (+0000) معلومات KMS [pool-14-thread-33] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_collection, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. للتحقق من وجود مستخدم يطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد آخر محمي، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

    يجب عليك العثور على إدخال مثل: 
    2020-07-21 17:44:22.808 (+0000) معلومات KMS [POOL-15-THREAD-1] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_collection, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security متعدد المستأجرين. للحصول على تنبيه أكثر استباقية، سجّل الاشتراك للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود تنبيهات تؤثر على الخدمات أو ترقيات للبرامج.
1

في Partner Hub، حدد الخدمات من القائمة على الجانب الأيسر من الشاشة.

2

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

تظهر صفحة إعدادات Hybrid Data Security.
3

في قسم "إشعارات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولاً بفواصل، واضغط على Enter.

إدارة نشر HDS

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security الخاص بك.

تعيين جدول ترقية المجموعة

يتم تنفيذ ترقيات البرامج لـ Hybrid Data Security تلقائيًا على مستوى المجموعة، مما يضمن تشغيل نفس إصدار البرنامج في جميع العقد دائمًا. يتم تنفيذ الترقيات وفقًا للجدول الزمني لترقية المجموعة. عندما تصبح ترقية برنامج متاحة، لديك خيار ترقية مجموعة النظام يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1

سجل الدخول إلى مركز الشركاء.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على إعداد

4

في صفحة موارد أمن البيانات الهجينة، حدد مجموعة النظام.

5

انقر على علامة التبويب إعدادات المجموعة .

6

في صفحة إعدادات المجموعة، ضمن "جدول الترقية"، حدد الوقت والمنطقة الزمنية لجدول الترقية.

ملاحظات ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتوفر التاليين. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

  • تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

    لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

  • تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

    لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

  • إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

  • إعادة التعيين السلس— تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.

  • إعادة التعيين الصعب— تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق مسؤول الشريك الكاملة.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

  1. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

    في البيئات العادية:

    docker rmi ciscocitg / hds-setup: stable

    في بيئات FedRAMP:

    docker rmi ciscocitg / hds-setup-fedramp: stable

    تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

  2. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

    دوكر تسجيل الدخول - u hdscustomersro

  3. في موجه كلمة المرور ، أدخل هذه التجزئة:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. قم بتنزيل أحدث صورة مستقرة لبيئتك:

    في البيئات العادية:

    دوكر سحب ciscocitg / hds-setup: مستقر

    في بيئات FedRAMP:

    دوكر سحب ciscocitg / hds-setup-fedramp: stable

    تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

  5. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

    • في البيئات العادية بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

    • في البيئات العادية باستخدام وكيل HTTP:

      docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام HTTPSproxy:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في بيئات FedRAMP بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

    • في بيئات FedRAMP باستخدام وكيل HTTP:

      docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTPS:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    عند تشغيل الحاوية، سترى "الاستماع السريع إلى الخادم على المنفذ 8080".

  6. استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

    لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

  7. أدخل بيانات اعتماد تسجيل دخول عميل Partner Hub الخاص بك عند مطالبتك بذلك، ثم انقر على قبول للمتابعة.

  8. قم باستيراد ملف ISO للتكوين الحالي.

  9. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

    لإيقاف أداة الإعداد، اكتب CTRL+C.

  10. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

2

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فقم بإنشاء Hybrid Data Security Node VM جديدة وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على إرشادات تفصيلية، ارجع إلى إنشاء وتسجيل المزيد من العُقد.

  1. قم بتثبيت مضيف HDS OVA.

  2. قم بإعداد HDS VM.

  3. قم بتحميل ملف التكوين المحدث.

  4. تسجيل العقدة الجديدة في Partner Hub.

3

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

  1. قم بإيقاف تشغيل الآلة الافتراضية.

  2. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  3. انقر فوق محرك الأقراص المضغوطة/أقراص DVD 1، وحدد خيار التحميل من ملف ISO، واستعرض وصولا إلى الموقع الذي قمت بتنزيل ملف ISO الجديد منه للتكوين.

  4. حدد التوصيل أثناء التشغيل .

  5. احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

4

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.
1

في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.

2

انتقل إلى نظرة عامة (الصفحة الافتراضية).

عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.

3

انتقل إلى صفحة متجر الثقة والوكيل .

4

انقر فوق التحقق من اتصال الوكيل.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة Hybrid Data Security من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وإيقاف تشغيل الجهاز الظاهري.

2

إزالة العقدة:

  1. سجّل الدخول إلى Partner Hub، ثم حدد الخدمات.

  2. في بطاقة Hybrid Data Security، انقر على عرض الكل لعرض صفحة موارد Hybrid Data Security.

  3. حدد مجموعتك لعرض لوحة النظرة العامة الخاصة بها.

  4. انقر على العقدة التي تريد إزالتها.

  5. انقر على إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين

  6. يمكنك أيضًا إلغاء تسجيل العقدة عن طريق النقر على الجانب الأيمن من العقدة وتحديد إزالة هذه العقدة.

3

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر على حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. دون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

تتمثل الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security الخاصة بك في إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. لكل مستخدم داخل المؤسسة تم تعيينه لـ Hybrid Data Security، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى مجموعة النظام. وتتحمل المجموعة أيضًا مسؤولية إرجاع المفاتيح التي أنشأتها إلى أي مستخدمين مصرح باستعادتها، على سبيل المثال، أعضاء مساحة محادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحرجة المتمثلة في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل والحفاظ على النسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو تكوين ISO المستخدم للمخطط إلى فقدان محتوى العميل لا يمكن استرداده. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت الكارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

قم بإلغاء تسجيل جميع العقد من Partner Hub كما هو مذكور في إزالة عقدة. استخدم أحدث ملف ISO تم تكوينه مقابل عقد المجموعة النشطة من قبل، لتنفيذ إجراء تجاوز الفشل المذكور أدناه.
1

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS.

2

أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.

3

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

4

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

5

انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO.

تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.

6

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.

7

تسجيل العقدة في Partner Hub. ارجع إلى تسجيل أول عقدة في المجموعة.

8

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بإلغاء تسجيل عقد مركز البيانات الاحتياطي وكرر عملية تكوين ISO وتسجيل عقد مركز البيانات الأساسي كما هو مذكور أعلاه.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يعمل تكوين HDS القياسي مع تثبيت ISO. ولكن، يفضل بعض العملاء عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط جميع عُقد HDS التكوين الجديد.

ما زلت تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن يتم التقاط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية كل عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1

أغلق إحدى عُقد HDS الخاصة بك.

2

في جهاز خادم vCenter، حدد عقدة HDS.

3

اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف ISO لتخزين البيانات.

4

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 20 دقيقة على الأقل.

5

التكرار لكل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يتم اعتبار نشر Hybrid Data Security غير متاح إذا تعذر الوصول إلى كل العقد في المجموعة، أو كانت المجموعة تعمل ببطء شديد ويتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسيتعرضون للأعراض التالية:

  • لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)

  • فشل فك تشفير الرسائل وعناوين المساحات من أجل:

    • تم إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)

    • المستخدمون الموجودون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)

  • سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح ما دام العملاء لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تقوم بمراقبة مجموعة Hybrid Data Security الخاصة بك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد Hybrid Data Security، فسيعرض Partner Hub التنبيهات إلى مسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشاكل الشائعة وخطوات حلها

تنبيه

الإجراء

فشل الوصول إلى قاعدة البيانات المحلية.

التحقق من وجود أخطاء في قاعدة البيانات أو مشاكل في الشبكة المحلية.

فشل في اتصال قاعدة البيانات المحلية.

تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.

فشل الوصول إلى الخدمة السحابية.

تحقق من إمكانية وصول العقد إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.

تجديد تسجيل خدمة السحابة.

تم إسقاط التسجيل في خدمات السحابة. تجديد التسجيل قيد التقدم.

تم إسقاط تسجيل الخدمة السحابية.

تم إنهاء التسجيل في خدمات السحابة. تم إيقاف تشغيل الخدمة.

لم يتم تنشيط الخدمة بعد.

تنشيط HDS في Partner Hub.

لا يتطابق المجال الذي تم تكوينه مع شهادة الخادم.

تأكد من أن شهادة الخادم لديك تطابق مجال تنشيط الخدمة الذي تم تكوينه.

السبب الأكثر احتمالاً هو أن CN الخاص بالشهادة تم تغييرها مؤخرًا وهي الآن مختلفة عن CN الذي تم استخدامه أثناء الإعداد الأولي.

فشلت المصادقة لخدمات السحابة.

تحقق من دقة بيانات اعتماد حساب الخدمة واحتمال انتهاء صلاحيتها.

فشل فتح ملف مخزن المفاتيح المحلي.

تحقق من السلامة وكلمة المرور في ملف متجر المفاتيح المحلي.

شهادة الخادم المحلي غير صالحة.

تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أنه تم إصدارها من قبل مرجع شهادة موثوق فيه.

يتعذر نشر القياسات.

تحقق من وصول الشبكة المحلية إلى خدمات السحابة الخارجية.

دليل /media/configdrive/hds غير موجود.

تحقق من تكوين تثبيت ISO على المضيف الظاهري. تحقق من وجود ملف ISO ومن تكوينه للتثبيت عند إعادة التمهيد ومن أنه تم تثبيته بنجاح.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تمت إضافتها

أكمل الإعداد عن طريق إنشاء وحدات CMK لمؤسسات المستأجرين المضافة حديثًا باستخدام أداة إعداد HDS.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تم إزالتها

أكمل الإعداد عن طريق إلغاء CMK لمؤسسات المستأجر التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.
1

راجع Partner Hub للاطلاع على أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للرجوع إليها.

2

راجع إخراج خادم سجل النظام للنشاط الناتج عن نشر Hybrid Data Security. قم بالتصفية لكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.

3

تواصل مع دعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

  • إذا قمت بإغلاق مجموعة Hybrid Data Security (عن طريق حذفها في Partner Hub أو بإغلاق كل العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت صلاحية الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يستطيع مستخدمو تطبيق Webex في مؤسسات العملاء استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام المفاتيح من KMS الخاص بك. ليس لدينا حاليًا حل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف خدمات HDS الخاصة بك بمجرد معالجة حسابات المستخدمين النشطين.

  • يحتفظ العميل الذي لديه اتصال حالي بـ ECDH بـ KMS بهذا الاتصال لفترة من الوقت (ربما ساعة واحدة).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

  • OpenSSL هي أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع واحدة على الأخرى.

  • إذا اخترت استخدام OpenSSL، فإننا نوفر هذا الإجراء كدليل لمساعدتك على إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. يجب فهم تلك المتطلبات قبل المتابعة.

  • قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرامج والوثائق.

  • قم بإنشاء مفتاح خاص.

  • ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة إصدار الشهادة (CA) لديك.

1

عند استلام شهادة الخادم من المرجع المصدق الخاص بك، احفظ الشهادة باسم hdsnode.pem.

2

اعرض الشهادة كنص، وتحقق من التفاصيل.

openssl x509 -text -noout -في hdsnode.pem

3

استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى hdsnode-bundle.pem. يجب أن يتضمن الملف المجمع شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر، بالتنسيق التالي:

----BEGIN CERTIFICATE------ ## شهادة الخادم. ### -----END CERTIFICATE----------- BEGIN CERTIFICATE------  ### شهادة CA الوسيطة. ### -----END CERTIFICATE--------- BEGIN CERTIFICATE----  ### شهادة CA الجذر. ### -----END CERTIFICATE-----

4

قم بإنشاء ملف .p12 بالاسم الودي kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

تحقق من تفاصيل شهادة الخادم.

  1. openssl pkcs12 -في hdsnode.p12

  2. أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. بعد ذلك، تحقق من أن المفتاح الخاص والشهادة الأولى تتضمن الخطوط friendlyName: مفتاح kms-private-key.

    مثال:

    bash$ openssl pkcs12 -in hdsnode.p12 أدخل كلمة المرور الاستيراد: قام MAC بالتحقق من سمات حقيبة الموافقة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 السمات الرئيسية:  أدخل عبارة مرور PEM: التحقق - أدخل عبارة مرور PEM: -----بدء المفتاح الخاص المشفر-----  ----- نهاية المفتاح الخاص المشفر----- سمات الحقيبة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE------ سمات الحقيبة friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority Issuer X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE----

التصرف التالي

ارجع إلى إكمال المتطلبات الأساسية لأمن البيانات الهجينة. ستستخدم ملف hdsnode.p12 ، وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO لتكوين لمضيفين HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عُقد Hybrid Data Security قياسات معينة إلى سحابة Webex. وتشمل هذه قياسات النظام للحد الأقصى لكومة البيانات، وحمل وحدة المعالجة المركزية، وعدد المواضيع؛ والقياسات المتعلقة بالمواضيع المتزامنة وغير المتزامنة؛ والقياسات المتعلقة بالتنبيهات التي تنطوي على حد اتصالات التشفير أو زمن الانتقال أو طول قائمة انتظار الطلب؛ والقياسات المتعلقة بمخزن البيانات؛ وقياسات اتصال التشفير. ترسل العقد مواد مفتاح مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

  • طلبات التشفير من العملاء، الذين يتم توجيههم من خلال خدمة التشفير

  • ترقيات إلى برنامج العقدة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف on_unsupported_protocol التوجيه إلى squid.conf:

on_unsupported_protocol نفق الكل

الحبار 3.5.27

لقد اختبرنا بنجاح أمان البيانات المختلط مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::وصلة server_name_regex mercury-connection ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump نظرة سريعة step1 كل ssl_bump stare step2 كل ssl_bump bump step3 الكل

المعلومات الجديدة والمتغيرة

المعلومات الجديدة والمتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات على المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمن البيانات الهجينة متعدد المستأجرين.

التاريخ

التغييرات التي تمت

15 يناير 2025

تم إضافة قيود على أمان البيانات الهجينة متعددة المستأجرين.

8 يناير 2025

تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر على إعداد على بطاقة HDS في Partner Hub هو خطوة مهمة في عملية التثبيت.

7 يناير 2025

تم تحديث متطلبات المضيف الظاهري، وتدفق مهام نشر Hybrid Data Security، وقم بتثبيت OVA لمضيف HDS لإظهار متطلبات جديدة لـ ESXi 7.0.

13 ديسمبر 2024

نشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعدد المستأجرين

تدفق مهام إلغاء تنشيط HDS للمستأجرين متعددين

اتبع هذه الخطوات لإلغاء تنشيط HDS متعدد المستأجرين بشكل كامل.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة فقط بواسطة مسؤول الشريك بصلاحيات كاملة.
1

قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة مؤسسات المستأجر.

2

إبطال وحدات CMK الخاصة بجميع العملاء، كما هو مذكور في إبطال وحدات CMK الخاصة بالمستأجرين الذين تم إزالتهم من HDS..

3

قم بإزالة جميع العقد من جميع المجموعات الخاصة بك، كما هو مذكور في إزالة عقدة.

4

احذف مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين.

  • انقر على المجموعة التي ترغب في حذفها، وحدد حذف هذه المجموعة في الزاوية العلوية اليمنى من صفحة النظرة العامة.
  • في صفحة الموارد، انقر على ... على الجانب الأيمن من مجموعة نظام وحدد إزالة المجموعة.
5

انقر على علامة التبويب الإعدادات في صفحة نظرة عامة على Hybrid Data Security وانقر على إلغاء تنشيط HDS في بطاقة حالة HDS.

بدء استخدام أمان البيانات الهجينة متعدد المستأجرين

نظرة عامة على أمان البيانات الهجينة لمستأجرين متعددين

اعتبارًا من اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف، والذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام المفاتيح الديناميكية المخزنة في KMS على السحابة، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يعمل أمان البيانات الهجينة متعدد المستأجرين على تمكين المؤسسات من الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه أن يؤدي دور موفر الخدمة ويدير التشفير في الموقع وغير ذلك من الخدمات الأمنية. يسمح هذا الإعداد للمؤسسة الشريكة بالتحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أمان بيانات المستخدمين لمؤسسات العملاء من الوصول الخارجي. تقوم المؤسسات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن أن يدعم كل مثيل العديد من مؤسسات العملاء على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

في حين أن المؤسسات الشريكة تتحكم في عملية النشر والإدارة، فإنها لا تملك صلاحية الوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر الوصول على مؤسسات العملاء ومستخدميها.

وهذا يسمح أيضًا للمؤسسات الأصغر بالاستفادة من نظام HDS، حيث أن خدمة إدارة المفاتيح والبنية التحتية الأمنية مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجينة متعدد المستأجرين سيادة البيانات والتحكم فيها

  • المحتوى الذي ينشئه المستخدم محمي من الوصول الخارجي، مثل موفري الخدمات السحابية.
  • يدير الشركاء المحليون الموثوق بهم مفاتيح التشفير للعملاء الذين لديهم بالفعل علاقة راسخة.
  • خيار الدعم الفني المحلي، إذا قدمه الشريك.
  • تدعم محتوى الاجتماعات والمراسلة والاتصال.

يهدف هذا المستند إلى مساعدة المؤسسات الشريكة على إعداد وإدارة العملاء تحت نظام Hybrid Data Security متعدد المستأجرين.

قيود أمان البيانات الهجينة متعددة المستأجرين

  • يجب ألا يكون لدى المؤسسات الشريكة أي نشر حالي لـ HDS نشط في Control Hub.
  • يجب ألا يكون لدى مؤسسات المستأجر أو العملاء التي ترغب في أن يديرها الشريك أي عملية نشر حالية لـ HDS في Control Hub.
  • بمجرد نشر HDS متعدد المستأجرين بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء وكذلك مستخدمي مؤسسة الشريك في الاستفادة من HDS متعدد المستأجرين لخدمات التشفير الخاصة بهم.

    ستكون المؤسسة الشريكة ومؤسسات العملاء التي تديرها على نفس عملية نشر HDS متعددة المستأجرين.

    لن تستخدم مؤسسة الشريك نظام KMS السحابي بعد الآن بعد نشر HDS متعدد المستأجرين.

  • لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
  • في الوقت الحالي، يمكن أن يحتوي كل نشر لشبكة HDS متعددة المستأجرين على مجموعة واحدة فقط، وتحتها عقد متعددة.
  • تتضمن أدوار المسؤول قيودًا معينة؛ ارجع إلى القسم أدناه لمعرفة التفاصيل.

الأدوار في أمان البيانات الهجينة متعددة المستأجرين

  • مسؤول الشريك بصلاحيات كاملة - يمكنه إدارة إعدادات جميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
  • مسؤول الشريك - يمكنه إدارة إعدادات العملاء التي قام المسؤول بتوفيرها أو التي تم تعيينها للمستخدم.
  • المسؤول الكامل - مسؤول المؤسسة الشريكة المصرح له بتنفيذ مهام مثل تعديل إعدادات المؤسسة وإدارة التراخيص وتعيين الأدوار.
  • إعداد وإدارة HDS متعدد المستأجرين بشكل شامل لجميع مؤسسات العملاء - المسؤول الكامل عن الشريك وحقوق المسؤول الكامل المطلوبة.
  • إدارة مؤسسات المستأجرين المعينة - مطلوب المسؤول الشريك وحقوق المسؤول الكامل.

بنية نطاق الأمان

تفصل بنية سحابة Webex بين أنواع الخدمة المختلفة إلى مجالات منفصلة أو مجالات ثقة، كما هو موضح أدناه.

نطاقات الفصل (بدون أمان البيانات الهجينة)

لفهم أمان البيانات الهجينة، دعنا نلقي نظرة أولاً على حالة السحابة النقية هذه، حيث توفر شركة Cisco جميع الوظائف في نطاقات السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يرتبط فيه المستخدمون بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيًا وجسديًا عن نطاق الأمان في مركز البيانات ب. كلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات ج.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

  1. يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم خادم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.

  2. يتم تشفير الرسالة قبل مغادرة العميل. يرسله العميل إلى خدمة الفهرسة، التي تنشئ فهرسات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.

  3. يتم إرسال الرسالة المشفرة إلى خدمة الامتثال من أجل فحوص الامتثال.

  4. يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر أمان البيانات الهجينة، فإنك تنقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع الخاص بك. تظل الخدمات السحابية الأخرى التي تشكل Webex (والتي تشمل الهوية وتخزين المحتوى) موجودة في نطاقات Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة مملوكة لمؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة مؤمنة ECDH. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، فإن KMS لديك توجه الطلب إلى Webex على السحابة من خلال قناة منفصلة لحقوق الإنسان ECDH للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. ارجع إلى إعداد بيئتك لمعرفة تفاصيل عن إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security متعدد المستأجرين.

توقعات نشر Hybrid Data Security

يتطلب نشر Hybrid Data Security التزامًا كبيرًا والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجينة، يجب أن توفر:

سيؤدي الفقدان الكامل لتكوين ISO الذي تقوم بإنشائه لأمن البيانات الهجينة أو قاعدة البيانات التي توفرها إلى فقدان المفاتيح. يمنع فقدان المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط ظاهرًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

  • إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.

  • كن مستعدًا لإجراء التعافي السريع من الكوارث في حالة وقوع كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة عملية نشر Hybrid Data Security متعددة المستأجرين:

  • إعداد أمان البيانات الهجينة— يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج أمان البيانات الهجينة، وبناء مجموعة نظام HDS، وإضافة مؤسسات المستأجرين إلى مجموعة النظام، وإدارة المفاتيح الرئيسية لعملائها (CMK). سيؤدي هذا إلى تمكين جميع المستخدمين في مؤسسات العملاء لديك من استخدام مجموعة Hybrid Data Security لوظائف الأمان.

    يتم تناول مراحل الإعداد والتنشيط والإدارة بالتفصيل في الفصول الثلاثة التالية.

  • الحفاظ على نشر Hybrid Data Security الخاص بك— توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك توفير دعم من المستوى الأول لهذا النشر، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Partner Hub.

  • فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة— إذا واجهتك مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وتذييل المشاكل المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر Hybrid Data Security

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العُقد على مضيفين افتراضيين. تتصل العقد بسحابة Webex من خلال مآخذ ويب آمنة وHTTP آمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على VMs التي توفرها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة Hybrid Data Security خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server المقدم. (يمكنك تكوين Syslogd وتفاصيل اتصال قاعدة البيانات في أداة إعداد HDS.)

نموذج نشر Hybrid Data Security

الحد الأدنى لعدد العُقد التي يمكن أن تكون موجودة في نظام المجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عُقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تصل جميع العقد في مجموعة النظام إلى نفس مخزن بيانات المفتاح، وتسجيل نشاط السجل إلى نفس خادم سجل النظام. العُقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة روبن مستديرة، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Partner Hub. لإزالة عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا دعت الحاجة لذلك.

مركز البيانات الاحتياطي للتعافي من الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات آمن في حالة الاستعداد. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر الخاصة بك إلى مركز البيانات الاحتياطي.

قبل تجاوز الفشل، يحتوي Data Center A على عُقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، في حين يحتوي B على نسخة من ملف ISO مع تكوينات إضافية وVMs المسجلة في المؤسسة وقاعدة بيانات احتياطية. بعد تجاوز الفشل، يحتوي مركز البيانات B على عقد HDS وقاعدة البيانات الأساسية النشطة، بينما يحتوي A على VMs غير مسجلة ونسخة من ملف ISO، وقاعدة البيانات في وضع الاستعداد.
تجاوز الفشل اليدوي إلى مركز بيانات الاستعداد

قواعد البيانات الخاصة بمراكز البيانات النشطة والاحتياطية متزامنة مع بعضها البعض مما يقلل الوقت المستغرق لتنفيذ تجاوز الفشل.

يجب أن تكون عُقد Hybrid Data Security النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

  • لا يوجد وكيل— يكون الإعداد الافتراضي إذا كنت لا تستخدم تكوين مخزن الثقة والوكيل لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.

  • وكيل شفاف غير فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.

  • نفق شفاف أو وكيل فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).

  • وكيل صريح— من خلال وكيل صريح، يمكنك إخبار عُقد HDS بخادم الوكيل ونظام المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— بناءً على ما يدعمه الخادم الوكيل، اختر من بين البروتوكولات التالية:

      • HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.

      • HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمان البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة متعدد المستأجرين:

  • المؤسسات الشريكة: اتصل بشريك Cisco أو مدير حسابك وتأكد من تمكين ميزة المستأجر المتعدد.

  • مؤسسات المستأجر: يجب أن يكون لديك Pro Pack في Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قام Docker بتحديث نموذج الترخيص الخاص به مؤخرًا. قد تتطلب مؤسستك اشتراك مدفوع لـ Docker Desktop. للحصول على التفاصيل، ارجع إلى منشور مدونة Docker، "يقوم Docker بتحديث اشتراكات منتجاتنا وتوسيع نطاقها".

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادات بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر Hybrid Data Security

المتطلبات

التفاصيل

  • موقعّة بواسطة مرجع مصدق موثوق به (CA)

بشكل افتراضي، نحن نثق في جهات التنسيق الإدارية الموجودة في قائمة Mozilla (باستثناء WoSign وStartCom) على https://wiki.mozilla.org/CA:IncludedCAs.

  • يحمل اسم مجال "اسم مشترك" (CN) يحدد عملية نشر Hybrid Data Security

  • ليست شهادة حرف بدل

لا يلزم أن يكون CN قابلاً للوصول إليه أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، hds.company.com.

يجب ألا يحتوي CN على * (حرف بدل).

يتم استخدام CN للتحقق من عُقد Hybrid Data Security لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS الخاص بك نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN.

بمجرد تسجيل عقدة باستخدام هذه الشهادة، لا ندعم تغيير اسم مجال CN.

  • توقيع غير SHA1

لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.

  • تم تنسيقه كملف PKCS #12 محمي بكلمة مرور

  • استخدم الاسم الودي kms-private-key لتمييز الشهادة والمفتاح الخاص وأي شهادات وسيطة ليتم تحميلها.

يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك.

سيتعين عليك إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض جهات منح الشهادات تطبيق قيود استخدام المفاتيح الموسعة على كل شهادة، مثل مصادقة الخادم. من المقبول استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يتمتع المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك بالمتطلبات التالية:

  • تم وضع مضيفان منفصلان على الأقل (3 موصى به) في نفس مركز البيانات الآمن

  • VMware ESXi 7.0 (أو إصدار أحدث) مثبت وقيد التشغيل.

    يجب الترقية إذا كان لديك إصدار سابق من ESXi.

  • الحد الأدنى 4 وحدات معالجة مركزية vCPU، والذاكرة الرئيسية 8 جيجابايت، ومساحة القرص الصلب المحلية 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. تقوم تطبيقات HDS، عند تثبيتها، بإنشاء مخطط قاعدة البيانات.

يوجد خياران لخادم قاعدة البيانات. المتطلبات الخاصة بكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بريدSQL

خادم Microsoft SQL

  • PostgreSQL 14 أو 15 أو 16 مثبتة وقيد التشغيل.

  • تم تثبيت SQL Server 2016 أو 2017 أو 2019 (المؤسسة أو Standard).

    يتطلب SQL Server 2016 Service Pack 2 وCumulative Update 2 أو إصدار أحدث.

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

بريدSQL

خادم Microsoft SQL

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت ترغب في أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

  • يجب مزامنة عُقد HDS والبنية التحتية لـ Active Directory وخادم MS SQL مع NTP.

  • يجب أن يكون لدى حساب Windows الذي تقدمه إلى عُقد HDS صلاحية الوصول للقراءة/الكتابة إلى قاعدة البيانات.

  • يجب أن تكون خوادم DNS التي تقدمها إلى عُقد HDS قادرة على حل مركز توزيع المفاتيح (KDC) الخاص بك.

  • يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL Server كاسم أساسي للخدمة (SPN) على Active Directory الخاص بك. ارجع إلى تسجيل الاسم الأساسي للخدمة لاتصالات Kerberos.

    تحتاج أداة إعداد HDS ومطلق HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح. وهم يستخدمون التفاصيل الواردة في تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق

البروتوكول

المنفذ

الاتجاه من التطبيق

الوجهة

عُقد أمان البيانات الهجينة

TCP

443

HTTPS وWSS الصادرة

  • خوادم Webex:

    • * .wbx2.com

    • *.ciscospark.com

  • كل مضيفين Common Identity

  • عناوين URL الأخرى المدرجة في أمان البيانات الهجينة في جدول عناوين URL الإضافية لخدمات Webex الهجينةمتطلبات الشبكة لخدمات Webex

أداة إعداد HDS

TCP

443

HTTPS الصادر

  • * .wbx2.com

  • كل مضيفين Common Identity

  • hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عُقد Hybrid Data Security، يجب ألا تكون أي منافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفين الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة

عناوين URL لمضيف الهوية الشائعة

الأمريكتان

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

الاتحاد الأوروبي

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

كندا

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

سنغافورة

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

الإمارات العربية المتحدة

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

متطلبات الخادم الوكيل

  • نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

    • وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

    • وكيل صريح - الحبار.

      يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للعمل على هذه المشكلة، ارجع إلى تكوين وكلاء Squid لأمن البيانات الهجينة.

  • نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:

    • لا توجد مصادقة باستخدام HTTP أو HTTPS

    • المصادقة الأساسية باستخدام HTTP أو HTTPS

    • تلخيص المصادقة باستخدام HTTPS فقط

  • للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.

  • يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.

  • قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيؤدي تجاوز (عدم فحص) حركة المرور إلى wbx2.com ciscospark.com إلى حل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من أنك جاهز لتثبيت وتهيئة مجموعة Hybrid Data Security.
1

تأكد من تمكين ميزة HDS متعددة المستأجرين في مؤسسة شريكك، واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل لدى الشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex لديك من أجل Pro Pack في Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير حسابك للحصول على المساعدة بشأن هذه العملية.

يجب ألا يكون لدى مؤسسات العملاء أي نشر حالي لـ HDS.

2

اختر اسم مجال لنشر HDS (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.

3

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (3 موصى بها) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.

4

قم بتهيئة خادم قاعدة البيانات الذي سيعمل كمخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب وضع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين.

  1. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، تقوم بإنشاء مخطط قاعدة البيانات.)

  2. اجمع التفاصيل التي ستستخدم العقد للاتصال بخادم قاعدة البيانات:

    • اسم المضيف أو عنوان IP (المضيف) والمنفذ

    • اسم قاعدة البيانات (dbname) لتخزين المفاتيح

    • اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح

5

للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM.

6

قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان الشبكة ومنفذ سجل النظام (الإعداد الافتراضي هو UDP 514).

7

قم بإنشاء سياسة نسخ احتياطي آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات التي لا يمكن استردادها، يجب أن تقوم بنسخ قاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه من أجل عُقد Hybrid Data Security.

نظرًا لأن عُقد Hybrid Data Security تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان لا يمكن إصلاحه لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذلك قد لا يظهر انقطاع الخدمة على الفور ولكن سيصبح واضحًا بمرور الوقت. في حين أنه من المستحيل منع الانقطاع المؤقت، إلا أنه قابل للاسترداد. ومع ذلك، فإن الفقدان الكامل (لا توجد نسخ احتياطية متوفرة) إما لقاعدة البيانات أو ملف ISO للتكوين سيؤدي إلى بيانات العميل غير قابلة للاسترداد. من المتوقع أن يقوم مشغلو Hybrid Data Security بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO الخاص بالتكوين، وأن يكونوا على استعداد لإعادة بناء مركز بيانات Hybrid Data Security في حالة حدوث فشل كارثي.

8

تأكد من أن تكوين جدار الحماية يسمح بإمكانية الاتصال لعقد Hybrid Data Security الخاصة بك كما هو موضح في متطلبات الاتصال الخارجي.

9

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يقوم بتشغيل نظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) باستخدام مستعرض ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

يمكنك استخدام مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. للحصول على مزيد من المعلومات، ارجع إلى متطلبات سطح مكتب Docker .

لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي إمكانية الاتصال الموضحة في متطلبات الاتصال الخارجي.

10

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

قبل البدء

1

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.

2

قم بإنشاء ISO للتكوين لمضيفين HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.

3

تثبيت مضيف HDS OVA

قم بإنشاء جهاز ظاهري من ملف OVA وقم بتنفيذ التكوين المبدئي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

4

إعداد Hybrid Data Security VM

سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تكن قد قمت بتكوينها في وقت نشر OVA.

5

تحميل ISO لتكوين HDS وتثبيته

قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

6

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين الوكيل، فحدد نوع الوكيل الذي ستستخدمه للعُقدة، وأضف شهادة الوكيل إلى المخزن الموثوق به إذا دعت الحاجة لذلك.

7

تسجيل أول عقدة في المجموعة

قم بتسجيل VM باستخدام Cisco Webex Cloud كعقدة Hybrid Data Security.

8

إنشاء وتسجيل المزيد من العُقد

أكمل إعداد مجموعة النظام.

9

تنشيط HDS متعدد المستأجرين على Partner Hub.

قم بتنشيط HDS وإدارة مؤسسات المستأجرين على Partner Hub.

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1

سجّل الدخول إلى Partner Hub، ثم انقر على الخدمات.

2

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security، ثم انقر على إعداد.

يعد النقر على إعداد في Partner Hub أمرًا مهمًا لعملية النشر. لا تقم بمتابعة التثبيت دون إكمال هذه الخطوة.

3

انقر على إضافة مورد وانقر على تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج .

لن تتوافق الإصدارات القديمة من حزمة البرامج (OVA) مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى حدوث مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم التعليمات . انقر على الإعدادات > تعليمات > تنزيل برنامج Hybrid Data Security.

يبدأ ملف OVA تلقائيًا في التنزيل. احفظ الملف في موقع على جهازك.
4

بشكل اختياري، انقر على الاطلاع على دليل نشر أمان البيانات الهجينة للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا أم لا.

قم بإنشاء ISO للتكوين لمضيفين HDS

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

قبل البدء
1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، لديك هذه الخيارات:

  • لا— إذا كنت تقوم بإنشاء أول عقدة HDS لديك، فلن يكون لديك ملف ISO ليتم تحميله.
  • نعم— إذا قمت بإنشاء عقد HDS بالفعل، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.
10

تحقق من أن شهادة X.509 الخاصة بك تفي بالمتطلبات الواردة في متطلبات شهادة X.509.

  • إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، وانقر على متابعة.
  • إذا كانت شهادتك موافق، فانقر على متابعة.
  • إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لا من أجل متابعة استخدام سلسلة شهادات HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.
11

أدخل عنوان قاعدة البيانات والحساب لـ HDS للوصول إلى مخزن بيانات المفتاح:

  1. حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

    إذا اخترت Microsoft SQL Server، فستحصل على حقل "نوع المصادقة".

  2. (Microsoft SQL Server فقط) حدد نوع المصادقة لديك:

    • المصادقة الأساسية: تحتاج إلى اسم حساب SQL Server محلي في حقل اسم المستخدم .

    • مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم .

  3. أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

    مثال:
    dbhost.example.org:1433 أو 198.51.100.17:1433

    يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا تعذر على العقد استخدام DNS لحل اسم المضيف.

    إذا كنت تستخدم مصادقة Windows، فيجب إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433

  4. أدخل اسم قاعدة البيانات.

  5. أدخل اسم المستخدم وكلمة المرور الخاصة بمستخدم يتمتع بجميع الامتيازات في قاعدة بيانات تخزين المفاتيح.

12

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عُقد HDS من TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فتحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

يتطلب TLS والتحقق من موقِّع الشهادة

لا يمكن تطبيق هذا الوضع لقواعد بيانات SQL Server.

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

يتطلب TLS والتحقق من توقيع الشهادة واسم المضيف

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

  • تتحقق العقد أيضًا من أن اسم المضيف الموجود في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، أو ينقطع الاتصال عن العقدة.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقّع الشهادة واسم المضيف، إن أمكن. في حالة فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ والاستمرار في عملية الإعداد. (بسبب الاختلافات في الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختبارها بنجاح.)

13

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

  1. أدخل عنوان URL لخادم سجل النظام.

    إذا لم يكن الخادم قادرًا على حل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

    مثال:
    udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd رقم 10.92.43.23 على منفذ UDP رقم 514.

  2. إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فحدد هل تم تكوين خادم سجل النظام لتشفير SSL؟.

    إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.

  3. من القائمة المنسدلة اختيار إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: اختر ما إذا كان يتم استخدام سطر جديد لـ Graylog وRsyslog TCP

    • بايت فارغة -- \x00

    • سطر جديد -- \n— حدد هذا الخيار لـ Graylog وRsyslog TCP.

  4. انقر على متابعة.

14

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxالحجم: 10
15

انقر على متابعة في شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتكون كلمات مرور حسابات الخدمة من تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو عندما ترغب في إعادة تعيينها لإلغاء صلاحية ملفات ISO السابقة.

16

انقر على تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

17

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي.

حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

18

لإيقاف أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بنسخ ملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العُقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع النسخ من ملف ISO، فقد أيضا المفتاح الرئيسي. لا يمكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا أبدًا نسخة من هذا المفتاح ولا يمكننا المساعدة إذا فقدته.

تثبيت مضيف HDS OVA

استخدم هذا الإجراء لإنشاء جهاز ظاهري من ملف OVA.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.

2

حدد ملف > نشر قالب OVF.

3

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر على التالي.

4

في صفحة تحديد اسم ومجلد ، أدخل اسم جهاز ظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن توجد فيه نشر عقدة الجهاز الظاهري، ثم انقر على التالي.

5

في صفحة تحديد مورد حساب ، اختر مورد حساب الوجهة، ثم انقر على التالي.

يتم تشغيل التحقق من الصحة. بعد الانتهاء، تظهر تفاصيل القالب.

6

تحقق من تفاصيل القالب ثم انقر على التالي.

7

إذا طُلب منك اختيار تكوين المورد في صفحة التكوين ، فانقر على 4 وحدة المعالجة المركزية ثم انقر على التالي.

8

في صفحة تحديد التخزين ، انقر على التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.

9

في صفحة تحديد الشبكات ، حدد خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.

10

في صفحة تخصيص قالب ، قم بتكوين إعدادات الشبكة التالية:

  • اسم المضيف— أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف كلمة واحدة للعُقدة.

    • لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

    • لضمان التسجيل بنجاح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعُقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.

    • يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا.

  • عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

    يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

  • قناع— أدخل عنوان قناع الشبكة الفرعية في رمز عشري. على سبيل المثال، 255.255.255.0.
  • البوابة— أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
  • خوادم DNS— أدخل قائمة بخوادم DNS مفصولة بفواصل، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
  • خوادم NTP— أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة.

  • قم بنشر كل العقد على نفس الشبكة الفرعية أو VLAN، بحيث يمكن الوصول إلى كل العقد في المجموعة من العملاء في شبكتك لأغراض إدارية.

في حال تفضيل ذلك، يمكنك تخطي تكوين إعداد الشبكة واتباع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة تحكم العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

11

انقر بزر الماوس الأيمن على العقدة VM، ثم اختر التشغيل > التشغيل.

تم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن مستعد لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لبضع دقائق قبل وصول حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والذي لا يمكنك تسجيل الدخول خلاله.

إعداد Hybrid Data Security VM

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security لأول مرة وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1

في عميل VMware vSphere، حدد VM node Hybrid Data Security وحدد علامة التبويب وحدة التحكم .

يتم تشغيل VM وتظهر مطالبة لتسجيل الدخول. إذا لم يتم عرض المطالبة بتسجيل الدخول، فاضغط على Enter.
2

استخدم تسجيل الدخول الافتراضي وكلمة المرور التالية لتسجيل الدخول وتغيير بيانات الاعتماد:

  1. تسجيل الدخول: المسؤول

  2. كلمة المرور: سيسكو

بما أنك تقوم بتسجيل الدخول إلى VM لأول مرة، يتعين عليك تغيير كلمة مرور المسؤول.

3

إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت OVA مضيف HDS، فتجاهل بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين .

4

إعداد تكوين ثابت باستخدام عنوان IP وقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

5

(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة لديك.

لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

6

احفظ تكوين الشبكة وأعد تشغيل VM حتى تسري التغييرات.

تحميل ISO لتكوين HDS وتثبيته

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحتوي على المفتاح الرئيسي، يجب أن يتم عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أنظمة إدارة البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى مخزن البيانات.

1

تحميل ملف ISO من جهاز الكمبيوتر:

  1. في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.

  2. في قائمة الأجهزة من علامة تبويب التكوين، انقر على التخزين.

  3. في قائمة مخزن البيانات، انقر بزر الماوس الأيمن على مخزن بيانات ملفات VM الخاصة بك وانقر على استعراض مخزن البيانات.

  4. انقر على رمز تحميل الملفات، ثم انقر على تحميل ملف.

  5. استعرض الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر على فتح.

  6. انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار مخزن البيانات.

2

تركيب ملف ISO:

  1. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  2. انقر على موافق لقبول تحذير خيارات التحرير المقيدة.

  3. انقر على CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO مخزن بيانات، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين فيه.

  4. حدد خيار متصل والاتصال عند التشغيل.

  5. احفظ تغييراتك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات لديك تتطلب، فيمكنك بشكل اختياري إلغاء تثبيت ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

1

أدخل عنوان URL لإعداد عقدة HDS https://[HDS Node IP أو FQDN]/الإعداد في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.

2

انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا:

  • لا يوجد وكيل— الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة.
  • وكيل غير فحص شفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.
  • وكيل الفحص الشفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
  • وكيل صريح— باستخدام وكيل صريح، يمكنك إخبار العميل (عُقد HDS) بخادم الوكيل الذي سيتم استخدامه، ويدعم هذا الخيار العديد من أنواع المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— اختر http (يعرض جميع الطلبات التي يتم استلامها من العميل ويتحكم فيها) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر لبروكسيات HTTP أو HTTPS.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر لبروكسيات HTTP أو HTTPS.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر لبروكسيات HTTPS فقط.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.

3

انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل.

تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.

4

انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل.

إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك الاستمرار في الإعداد، وستعمل العقدة في وضع تحليل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا الخطأ، فقم باستكمال هذه الخطوات، ثم ارجع إلى إيقاف تشغيل وضع تحليل DNS الخارجي المحظور.

5

بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.

6

انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا.

تتم إعادة تشغيل العقدة في غضون بضع دقائق.

7

بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء.

يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل أول عقدة في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة بسحابة Webex، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على واحد أو أكثر من العُقد التي تم نشرها لتوفير التكرار.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security وانقر على إعداد.

4

في الصفحة التي يتم فتحها، انقر على إضافة مورد.

5

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي ترغب في تعيين عقدة Hybrid Data Security لها.

نوصي بتسمية مجموعة بناءً على موقع عقد المجموعة جغرافيًا. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

6

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في Webex.
7

انقر على الانتقال إلى العقدة.

بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

8

حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9

انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

في صفحة أمن البيانات الهجينة ، يتم عرض مجموعة النظام الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة تبويب الموارد . ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العُقد

لإضافة عقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء وحدات VM إضافية وتركيب نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

قم بإنشاء جهاز ظاهري جديد من OVA، وكرر الخطوات الواردة في تثبيت HDS Host OVA.

2

قم بإعداد التكوين الأولي على VM الجديد، وكرر الخطوات الواردة في إعداد Hybrid Data Security VM.

3

في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت ISO لتكوين HDS.

4

إذا كنت تقوم بإعداد وكيل للنشر، فكرر الخطوات الواردة في تكوين عقدة HDS لدمج الوكيل حسب الحاجة للعقدة الجديدة.

5

تسجيل العقدة.

  1. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

  2. في قسم الخدمات السحابية، ابحث عن بطاقة أمان البيانات الهجينة وانقر على عرض الكل.

    تظهر صفحة موارد Hybrid Data Security.

  3. ستظهر مجموعة النظام التي تم إنشاؤها حديثًا في صفحة الموارد .

  4. انقر على المجموعة لعرض العقد المعينة للمجموعة.

  5. انقر على إضافة عقدة على الجانب الأيمن من الشاشة.

  6. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة.

    تفتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسستك للوصول إلى العقدة الخاصة بك.

  7. حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

    تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.

  8. انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

    تظهر الرسالة المنبثقة التي تمت إضافة العقدة أيضًا في أسفل الشاشة في Partner Hub.

    تم تسجيل العقدة الخاصة بك.

إدارة مؤسسات المستأجرين على "أمان البيانات الهجينة متعددة المستأجرين"

تنشيط HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من بدء الاستفادة من HDS لمفاتيح التشفير الداخلية والخدمات الأمنية الأخرى.

قبل البدء

تأكد من إكمال إعداد مجموعة HDS متعددة المستأجرين باستخدام العدد المطلوب من العقد.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

4

انقر على تنشيط HDS على بطاقة حالة HDS .

إضافة مؤسسات مستأجرة في Partner Hub

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة Hybrid Data Security الخاصة بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

انقر على المجموعة التي تريد تعيين العميل لها.

5

انتقل إلى علامة تبويب العملاء المعينين .

6

انقر على إضافة عملاء.

7

حدد العميل الذي تريد إضافته من القائمة المنسدلة.

8

انقر على إضافة، ستتم إضافة العميل إلى مجموعة النظام.

9

كرر الخطوات من 6 إلى 8 لإضافة عملاء متعددين إلى المجموعة الخاصة بك.

10

انقر على تم في الجزء السفلي من الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو مفصل في إنشاء المفاتيح الرئيسية للعملاء (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء المفاتيح الرئيسية للعملاء (CMK) باستخدام أداة إعداد HDS

قبل البدء

قم بتعيين العملاء إلى المجموعة المناسبة كما هو مفصل في إضافة مؤسسات مستأجر في Partner Hub. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد لمؤسسات العملاء المضافة حديثًا.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

تأكد من الاتصال بقاعدة البيانات الخاصة بك لتنفيذ إدارة CMK.
11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إنشاء CMK لجميع المؤسسات أو إنشاء CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإنشاء CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إنشاء ملفات CMK لإنشاء ملفات CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على … بالقرب من حالة انتظار إدارة CMK لمؤسسة معينة في الجدول وانقر على إنشاء CMK لإنشاء CMK لتلك المؤسسة.
12

بمجرد نجاح إنشاء CMK، ستتغير الحالة الموجودة في الجدول من إدارة CMK معلقة إلى إدارة CMK.

13

إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة مؤسسات المستأجر

قبل البدء

بمجرد إزالتها، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسيفقدون كل المساحات الحالية. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب لديك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

في علامة تبويب الموارد ، انقر على المجموعة التي تريد إزالة مؤسسات العملاء منها.

5

في الصفحة التي يتم فتحها، انقر على العملاء المعينين.

6

من قائمة مؤسسات العملاء التي يتم عرضها، انقر على ... على الجانب الأيمن من مؤسسة العميل التي ترغب في إزالتها وانقر على إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إبطال CMK لمؤسسات العملاء كما هو مفصل في إبطال CMK للمستأجرين الذين تمت إزالتهم من HDS.

إبطال وحدات CMK للمستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

قم بإزالة العملاء من المجموعة المناسبة كما هو مفصل في إزالة مؤسسات المستأجر. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة لمؤسسات العملاء التي تمت إزالتها.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إبطال ملف CMK لجميع المؤسسات أو إبطال ملف CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإبطال ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إلغاء ملفات CMK لإلغاء ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على بالقرب من حالة CMK المراد إبطاله لمؤسسة معينة في الجدول، وانقر على إبطال CMK لإبطال CMK لتلك المؤسسة المحددة.
12

بمجرد نجاح إبطال CMK، لن تظهر مؤسسة العميل في الجدول بعد الآن.

13

إذا لم ينجح إبطال CMK، فسيتم عرض خطأ.

اختبار نشر Hybrid Data Security الخاص بك

اختبار نشر Hybrid Data Security الخاص بك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير Hybrid Data Security متعددة المستأجرين.

قبل البدء

  • قم بإعداد نشر Hybrid Data Security متعدد المستأجرين.

  • تأكد من امتلاكك صلاحية الوصول إلى سجل النظام للتحقق من تمرير طلبات المفاتيح إلى عملية نشر Hybrid Data Security متعددة المستأجرين.

1

يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. سجّل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر Hybrid Data Security، فلن يتاح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون بمجرد استبدال النسخ المخزنة مؤقتًا من مفاتيح التشفير.

2

إرسال الرسائل إلى المساحة الجديدة.

3

تحقق من مخرجات سجل النظام للتحقق من أن طلبات المفاتيح تنتقل إلى نشر Hybrid Data Security الخاص بك.

  1. للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_collection:

    يجب العثور على إدخال مثل ما يلي (المعرفات مختصرة من أجل قابلية القراءة):
    2020-07-21 17:35:34.562 (+0000) معلومات KMS [pool-14-thread-1] - [KMS:REQUEST] تم استلامها، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ إيدهي كيد: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_collection, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. للتحقق من مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية في kms.data.method=retrieve وkms.data.type=KEY:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:19.889 (+0000) معلومات KMS [pool-14-thread-31] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. للتحقق من مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية في kms.data.method=create وkms.data.type=KEY_collection:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:21.975 (+0000) معلومات KMS [pool-14-thread-33] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_collection, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. للتحقق من وجود مستخدم يطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد آخر محمي، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

    يجب عليك العثور على إدخال مثل: 
    2020-07-21 17:44:22.808 (+0000) معلومات KMS [POOL-15-THREAD-1] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_collection, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security متعدد المستأجرين. للحصول على تنبيه أكثر استباقية، سجّل الاشتراك للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود تنبيهات تؤثر على الخدمات أو ترقيات للبرامج.
1

في Partner Hub، حدد الخدمات من القائمة على الجانب الأيسر من الشاشة.

2

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

تظهر صفحة إعدادات Hybrid Data Security.
3

في قسم "إشعارات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولاً بفواصل، واضغط على Enter.

إدارة نشر HDS

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security الخاص بك.

تعيين جدول ترقية المجموعة

يتم تنفيذ ترقيات البرامج لـ Hybrid Data Security تلقائيًا على مستوى المجموعة، مما يضمن تشغيل نفس إصدار البرنامج في جميع العقد دائمًا. يتم تنفيذ الترقيات وفقًا للجدول الزمني لترقية المجموعة. عندما تصبح ترقية برنامج متاحة، لديك خيار ترقية مجموعة النظام يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1

سجل الدخول إلى مركز الشركاء.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على إعداد

4

في صفحة موارد أمن البيانات الهجينة، حدد مجموعة النظام.

5

انقر على علامة التبويب إعدادات المجموعة .

6

في صفحة إعدادات المجموعة، ضمن "جدول الترقية"، حدد الوقت والمنطقة الزمنية لجدول الترقية.

ملاحظات ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتوفر التاليين. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

  • تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

    لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

  • تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

    لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

  • إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

  • إعادة التعيين السلس— تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.

  • إعادة التعيين الصعب— تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق مسؤول الشريك الكاملة.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

  1. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

    في البيئات العادية:

    docker rmi ciscocitg / hds-setup: stable

    في بيئات FedRAMP:

    docker rmi ciscocitg / hds-setup-fedramp: stable

    تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

  2. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

    دوكر تسجيل الدخول - u hdscustomersro

  3. في موجه كلمة المرور ، أدخل هذه التجزئة:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. قم بتنزيل أحدث صورة مستقرة لبيئتك:

    في البيئات العادية:

    دوكر سحب ciscocitg / hds-setup: مستقر

    في بيئات FedRAMP:

    دوكر سحب ciscocitg / hds-setup-fedramp: stable

    تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

  5. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

    • في البيئات العادية بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

    • في البيئات العادية باستخدام وكيل HTTP:

      docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام HTTPSproxy:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في بيئات FedRAMP بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

    • في بيئات FedRAMP باستخدام وكيل HTTP:

      docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTPS:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    عند تشغيل الحاوية، سترى "الاستماع السريع إلى الخادم على المنفذ 8080".

  6. استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

    لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

  7. أدخل بيانات اعتماد تسجيل دخول عميل Partner Hub الخاص بك عند مطالبتك بذلك، ثم انقر على قبول للمتابعة.

  8. قم باستيراد ملف ISO للتكوين الحالي.

  9. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

    لإيقاف أداة الإعداد، اكتب CTRL+C.

  10. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

2

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فقم بإنشاء Hybrid Data Security Node VM جديدة وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على إرشادات تفصيلية، ارجع إلى إنشاء وتسجيل المزيد من العُقد.

  1. قم بتثبيت مضيف HDS OVA.

  2. قم بإعداد HDS VM.

  3. قم بتحميل ملف التكوين المحدث.

  4. تسجيل العقدة الجديدة في Partner Hub.

3

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

  1. قم بإيقاف تشغيل الآلة الافتراضية.

  2. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  3. انقر فوق محرك الأقراص المضغوطة/أقراص DVD 1، وحدد خيار التحميل من ملف ISO، واستعرض وصولا إلى الموقع الذي قمت بتنزيل ملف ISO الجديد منه للتكوين.

  4. حدد التوصيل أثناء التشغيل .

  5. احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

4

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.
1

في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.

2

انتقل إلى نظرة عامة (الصفحة الافتراضية).

عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.

3

انتقل إلى صفحة متجر الثقة والوكيل .

4

انقر فوق التحقق من اتصال الوكيل.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة Hybrid Data Security من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وإيقاف تشغيل الجهاز الظاهري.

2

إزالة العقدة:

  1. سجّل الدخول إلى Partner Hub، ثم حدد الخدمات.

  2. في بطاقة Hybrid Data Security، انقر على عرض الكل لعرض صفحة موارد Hybrid Data Security.

  3. حدد مجموعتك لعرض لوحة النظرة العامة الخاصة بها.

  4. انقر على العقدة التي تريد إزالتها.

  5. انقر على إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين

  6. يمكنك أيضًا إلغاء تسجيل العقدة عن طريق النقر على الجانب الأيمن من العقدة وتحديد إزالة هذه العقدة.

3

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر على حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. دون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

تتمثل الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security الخاصة بك في إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. لكل مستخدم داخل المؤسسة تم تعيينه لـ Hybrid Data Security، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى مجموعة النظام. وتتحمل المجموعة أيضًا مسؤولية إرجاع المفاتيح التي أنشأتها إلى أي مستخدمين مصرح باستعادتها، على سبيل المثال، أعضاء مساحة محادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحرجة المتمثلة في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل والحفاظ على النسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو تكوين ISO المستخدم للمخطط إلى فقدان محتوى العميل لا يمكن استرداده. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت الكارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

قم بإلغاء تسجيل جميع العقد من Partner Hub كما هو مذكور في إزالة عقدة. استخدم أحدث ملف ISO تم تكوينه مقابل عقد المجموعة النشطة من قبل، لتنفيذ إجراء تجاوز الفشل المذكور أدناه.
1

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS.

2

أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.

3

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

4

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

5

انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO.

تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.

6

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.

7

تسجيل العقدة في Partner Hub. ارجع إلى تسجيل أول عقدة في المجموعة.

8

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بإلغاء تسجيل عقد مركز البيانات الاحتياطي وكرر عملية تكوين ISO وتسجيل عقد مركز البيانات الأساسي كما هو مذكور أعلاه.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يعمل تكوين HDS القياسي مع تثبيت ISO. ولكن، يفضل بعض العملاء عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط جميع عُقد HDS التكوين الجديد.

ما زلت تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن يتم التقاط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية كل عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1

أغلق إحدى عُقد HDS الخاصة بك.

2

في جهاز خادم vCenter، حدد عقدة HDS.

3

اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف ISO لتخزين البيانات.

4

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 20 دقيقة على الأقل.

5

التكرار لكل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يتم اعتبار نشر Hybrid Data Security غير متاح إذا تعذر الوصول إلى كل العقد في المجموعة، أو كانت المجموعة تعمل ببطء شديد ويتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسيتعرضون للأعراض التالية:

  • لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)

  • فشل فك تشفير الرسائل وعناوين المساحات من أجل:

    • تم إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)

    • المستخدمون الموجودون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)

  • سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح ما دام العملاء لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تقوم بمراقبة مجموعة Hybrid Data Security الخاصة بك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد Hybrid Data Security، فسيعرض Partner Hub التنبيهات إلى مسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشاكل الشائعة وخطوات حلها

تنبيه

الإجراء

فشل الوصول إلى قاعدة البيانات المحلية.

التحقق من وجود أخطاء في قاعدة البيانات أو مشاكل في الشبكة المحلية.

فشل في اتصال قاعدة البيانات المحلية.

تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.

فشل الوصول إلى الخدمة السحابية.

تحقق من إمكانية وصول العقد إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.

تجديد تسجيل خدمة السحابة.

تم إسقاط التسجيل في خدمات السحابة. تجديد التسجيل قيد التقدم.

تم إسقاط تسجيل الخدمة السحابية.

تم إنهاء التسجيل في خدمات السحابة. تم إيقاف تشغيل الخدمة.

لم يتم تنشيط الخدمة بعد.

تنشيط HDS في Partner Hub.

لا يتطابق المجال الذي تم تكوينه مع شهادة الخادم.

تأكد من أن شهادة الخادم لديك تطابق مجال تنشيط الخدمة الذي تم تكوينه.

السبب الأكثر احتمالاً هو أن CN الخاص بالشهادة تم تغييرها مؤخرًا وهي الآن مختلفة عن CN الذي تم استخدامه أثناء الإعداد الأولي.

فشلت المصادقة لخدمات السحابة.

تحقق من دقة بيانات اعتماد حساب الخدمة واحتمال انتهاء صلاحيتها.

فشل فتح ملف مخزن المفاتيح المحلي.

تحقق من السلامة وكلمة المرور في ملف متجر المفاتيح المحلي.

شهادة الخادم المحلي غير صالحة.

تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أنه تم إصدارها من قبل مرجع شهادة موثوق فيه.

يتعذر نشر القياسات.

تحقق من وصول الشبكة المحلية إلى خدمات السحابة الخارجية.

دليل /media/configdrive/hds غير موجود.

تحقق من تكوين تثبيت ISO على المضيف الظاهري. تحقق من وجود ملف ISO ومن تكوينه للتثبيت عند إعادة التمهيد ومن أنه تم تثبيته بنجاح.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تمت إضافتها

أكمل الإعداد عن طريق إنشاء وحدات CMK لمؤسسات المستأجرين المضافة حديثًا باستخدام أداة إعداد HDS.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تم إزالتها

أكمل الإعداد عن طريق إلغاء CMK لمؤسسات المستأجر التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.
1

راجع Partner Hub للاطلاع على أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للرجوع إليها.

2

راجع إخراج خادم سجل النظام للنشاط الناتج عن نشر Hybrid Data Security. قم بالتصفية لكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.

3

تواصل مع دعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

  • إذا قمت بإغلاق مجموعة Hybrid Data Security (عن طريق حذفها في Partner Hub أو بإغلاق كل العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت صلاحية الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يستطيع مستخدمو تطبيق Webex في مؤسسات العملاء استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام المفاتيح من KMS الخاص بك. ليس لدينا حاليًا حل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف خدمات HDS الخاصة بك بمجرد معالجة حسابات المستخدمين النشطين.

  • يحتفظ العميل الذي لديه اتصال حالي بـ ECDH بـ KMS بهذا الاتصال لفترة من الوقت (ربما ساعة واحدة).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

  • OpenSSL هي أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع واحدة على الأخرى.

  • إذا اخترت استخدام OpenSSL، فإننا نوفر هذا الإجراء كدليل لمساعدتك على إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. يجب فهم تلك المتطلبات قبل المتابعة.

  • قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرامج والوثائق.

  • قم بإنشاء مفتاح خاص.

  • ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة إصدار الشهادة (CA) لديك.

1

عند استلام شهادة الخادم من المرجع المصدق الخاص بك، احفظ الشهادة باسم hdsnode.pem.

2

اعرض الشهادة كنص، وتحقق من التفاصيل.

openssl x509 -text -noout -في hdsnode.pem

3

استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى hdsnode-bundle.pem. يجب أن يتضمن الملف المجمع شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر، بالتنسيق التالي:

----BEGIN CERTIFICATE------ ## شهادة الخادم. ### -----END CERTIFICATE----------- BEGIN CERTIFICATE------  ### شهادة CA الوسيطة. ### -----END CERTIFICATE--------- BEGIN CERTIFICATE----  ### شهادة CA الجذر. ### -----END CERTIFICATE-----

4

قم بإنشاء ملف .p12 بالاسم الودي kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

تحقق من تفاصيل شهادة الخادم.

  1. openssl pkcs12 -في hdsnode.p12

  2. أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. بعد ذلك، تحقق من أن المفتاح الخاص والشهادة الأولى تتضمن الخطوط friendlyName: مفتاح kms-private-key.

    مثال:

    bash$ openssl pkcs12 -in hdsnode.p12 أدخل كلمة المرور الاستيراد: قام MAC بالتحقق من سمات حقيبة الموافقة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 السمات الرئيسية:  أدخل عبارة مرور PEM: التحقق - أدخل عبارة مرور PEM: -----بدء المفتاح الخاص المشفر-----  ----- نهاية المفتاح الخاص المشفر----- سمات الحقيبة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE------ سمات الحقيبة friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority Issuer X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE----

التصرف التالي

ارجع إلى إكمال المتطلبات الأساسية لأمن البيانات الهجينة. ستستخدم ملف hdsnode.p12 ، وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO لتكوين لمضيفين HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عُقد Hybrid Data Security قياسات معينة إلى سحابة Webex. وتشمل هذه قياسات النظام للحد الأقصى لكومة البيانات، وحمل وحدة المعالجة المركزية، وعدد المواضيع؛ والقياسات المتعلقة بالمواضيع المتزامنة وغير المتزامنة؛ والقياسات المتعلقة بالتنبيهات التي تنطوي على حد اتصالات التشفير أو زمن الانتقال أو طول قائمة انتظار الطلب؛ والقياسات المتعلقة بمخزن البيانات؛ وقياسات اتصال التشفير. ترسل العقد مواد مفتاح مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

  • طلبات التشفير من العملاء، الذين يتم توجيههم من خلال خدمة التشفير

  • ترقيات إلى برنامج العقدة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف on_unsupported_protocol التوجيه إلى squid.conf:

on_unsupported_protocol نفق الكل

الحبار 3.5.27

لقد اختبرنا بنجاح أمان البيانات المختلط مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::وصلة server_name_regex mercury-connection ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump نظرة سريعة step1 كل ssl_bump stare step2 كل ssl_bump bump step3 الكل

المعلومات الجديدة والمتغيرة

المعلومات الجديدة والمتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات على المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمن البيانات الهجينة متعدد المستأجرين.

التاريخ

التغييرات التي تمت

30 يناير 2025

تم إضافة إصدار خادم SQL 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.

15 يناير 2025

تم إضافة قيود على أمان البيانات الهجينة متعددة المستأجرين.

8 يناير 2025

تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر على إعداد على بطاقة HDS في Partner Hub هو خطوة مهمة في عملية التثبيت.

7 يناير 2025

تم تحديث متطلبات المضيف الظاهري، وتدفق مهام نشر Hybrid Data Security، وقم بتثبيت OVA لمضيف HDS لإظهار متطلبات جديدة لـ ESXi 7.0.

13 ديسمبر 2024

نشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعدد المستأجرين

تدفق مهام إلغاء تنشيط HDS للمستأجرين متعددين

اتبع هذه الخطوات لإلغاء تنشيط HDS متعدد المستأجرين بشكل كامل.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة فقط بواسطة مسؤول الشريك بصلاحيات كاملة.
1

قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة مؤسسات المستأجر.

2

إبطال وحدات CMK الخاصة بجميع العملاء، كما هو مذكور في إبطال وحدات CMK الخاصة بالمستأجرين الذين تم إزالتهم من HDS..

3

قم بإزالة جميع العقد من جميع المجموعات الخاصة بك، كما هو مذكور في إزالة عقدة.

4

احذف مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين.

  • انقر على المجموعة التي ترغب في حذفها، وحدد حذف هذه المجموعة في الزاوية العلوية اليمنى من صفحة النظرة العامة.
  • في صفحة الموارد، انقر على ... على الجانب الأيمن من مجموعة نظام وحدد إزالة المجموعة.
5

انقر على علامة التبويب الإعدادات في صفحة نظرة عامة على Hybrid Data Security وانقر على إلغاء تنشيط HDS في بطاقة حالة HDS.

بدء استخدام أمان البيانات الهجينة متعدد المستأجرين

نظرة عامة على أمان البيانات الهجينة لمستأجرين متعددين

اعتبارًا من اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف، والذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام المفاتيح الديناميكية المخزنة في KMS على السحابة، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يعمل أمان البيانات الهجينة متعدد المستأجرين على تمكين المؤسسات من الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه أن يؤدي دور موفر الخدمة ويدير التشفير في الموقع وغير ذلك من الخدمات الأمنية. يسمح هذا الإعداد للمؤسسة الشريكة بالتحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أمان بيانات المستخدمين لمؤسسات العملاء من الوصول الخارجي. تقوم المؤسسات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن أن يدعم كل مثيل العديد من مؤسسات العملاء على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

في حين أن المؤسسات الشريكة تتحكم في عملية النشر والإدارة، فإنها لا تملك صلاحية الوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر الوصول على مؤسسات العملاء ومستخدميها.

وهذا يسمح أيضًا للمؤسسات الأصغر بالاستفادة من نظام HDS، حيث أن خدمة إدارة المفاتيح والبنية التحتية الأمنية مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجينة متعدد المستأجرين سيادة البيانات والتحكم فيها

  • المحتوى الذي ينشئه المستخدم محمي من الوصول الخارجي، مثل موفري الخدمات السحابية.
  • يدير الشركاء المحليون الموثوق بهم مفاتيح التشفير للعملاء الذين لديهم بالفعل علاقة راسخة.
  • خيار الدعم الفني المحلي، إذا قدمه الشريك.
  • تدعم محتوى الاجتماعات والمراسلة والاتصال.

يهدف هذا المستند إلى مساعدة المؤسسات الشريكة على إعداد وإدارة العملاء تحت نظام Hybrid Data Security متعدد المستأجرين.

قيود أمان البيانات الهجينة متعددة المستأجرين

  • يجب ألا يكون لدى المؤسسات الشريكة أي نشر حالي لـ HDS نشط في Control Hub.
  • يجب ألا يكون لدى مؤسسات المستأجر أو العملاء التي ترغب في أن يديرها الشريك أي عملية نشر حالية لـ HDS في Control Hub.
  • بمجرد نشر HDS متعدد المستأجرين بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء وكذلك مستخدمي مؤسسة الشريك في الاستفادة من HDS متعدد المستأجرين لخدمات التشفير الخاصة بهم.

    ستكون المؤسسة الشريكة ومؤسسات العملاء التي تديرها على نفس عملية نشر HDS متعددة المستأجرين.

    لن تستخدم مؤسسة الشريك نظام KMS السحابي بعد الآن بعد نشر HDS متعدد المستأجرين.

  • لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
  • في الوقت الحالي، يمكن أن يحتوي كل نشر لشبكة HDS متعددة المستأجرين على مجموعة واحدة فقط، وتحتها عقد متعددة.
  • تتضمن أدوار المسؤول قيودًا معينة؛ ارجع إلى القسم أدناه لمعرفة التفاصيل.

الأدوار في أمان البيانات الهجينة متعددة المستأجرين

  • مسؤول الشريك بصلاحيات كاملة - يمكنه إدارة إعدادات جميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
  • مسؤول الشريك - يمكنه إدارة إعدادات العملاء التي قام المسؤول بتوفيرها أو التي تم تعيينها للمستخدم.
  • المسؤول الكامل - مسؤول المؤسسة الشريكة المصرح له بتنفيذ مهام مثل تعديل إعدادات المؤسسة وإدارة التراخيص وتعيين الأدوار.
  • إعداد وإدارة HDS متعدد المستأجرين بشكل شامل لجميع مؤسسات العملاء - المسؤول الكامل عن الشريك وحقوق المسؤول الكامل المطلوبة.
  • إدارة مؤسسات المستأجرين المعينة - مطلوب المسؤول الشريك وحقوق المسؤول الكامل.

بنية نطاق الأمان

تفصل بنية سحابة Webex بين أنواع الخدمة المختلفة إلى مجالات منفصلة أو مجالات ثقة، كما هو موضح أدناه.

نطاقات الفصل (بدون أمان البيانات الهجينة)

لفهم أمان البيانات الهجينة، دعنا نلقي نظرة أولاً على حالة السحابة النقية هذه، حيث توفر شركة Cisco جميع الوظائف في نطاقات السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يرتبط فيه المستخدمون بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيًا وجسديًا عن نطاق الأمان في مركز البيانات ب. كلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات ج.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

  1. يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم خادم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.

  2. يتم تشفير الرسالة قبل مغادرة العميل. يرسله العميل إلى خدمة الفهرسة، التي تنشئ فهرسات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.

  3. يتم إرسال الرسالة المشفرة إلى خدمة الامتثال من أجل فحوص الامتثال.

  4. يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر أمان البيانات الهجينة، فإنك تنقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع الخاص بك. تظل الخدمات السحابية الأخرى التي تشكل Webex (والتي تشمل الهوية وتخزين المحتوى) موجودة في نطاقات Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة مملوكة لمؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة مؤمنة ECDH. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، فإن KMS لديك توجه الطلب إلى Webex على السحابة من خلال قناة منفصلة لحقوق الإنسان ECDH للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. ارجع إلى إعداد بيئتك لمعرفة تفاصيل عن إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security متعدد المستأجرين.

توقعات نشر Hybrid Data Security

يتطلب نشر Hybrid Data Security التزامًا كبيرًا والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجينة، يجب أن توفر:

سيؤدي الفقدان الكامل لتكوين ISO الذي تقوم بإنشائه لأمن البيانات الهجينة أو قاعدة البيانات التي توفرها إلى فقدان المفاتيح. يمنع فقدان المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط ظاهرًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

  • إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.

  • كن مستعدًا لإجراء التعافي السريع من الكوارث في حالة وقوع كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة عملية نشر Hybrid Data Security متعددة المستأجرين:

  • إعداد أمان البيانات الهجينة— يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج أمان البيانات الهجينة، وبناء مجموعة نظام HDS، وإضافة مؤسسات المستأجرين إلى مجموعة النظام، وإدارة المفاتيح الرئيسية لعملائها (CMK). سيؤدي هذا إلى تمكين جميع المستخدمين في مؤسسات العملاء لديك من استخدام مجموعة Hybrid Data Security لوظائف الأمان.

    يتم تناول مراحل الإعداد والتنشيط والإدارة بالتفصيل في الفصول الثلاثة التالية.

  • الحفاظ على نشر Hybrid Data Security الخاص بك— توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك توفير دعم من المستوى الأول لهذا النشر، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Partner Hub.

  • فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة— إذا واجهتك مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وتذييل المشاكل المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر Hybrid Data Security

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العُقد على مضيفين افتراضيين. تتصل العقد بسحابة Webex من خلال مآخذ ويب آمنة وHTTP آمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على VMs التي توفرها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة Hybrid Data Security خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server المقدم. (يمكنك تكوين Syslogd وتفاصيل اتصال قاعدة البيانات في أداة إعداد HDS.)

نموذج نشر Hybrid Data Security

الحد الأدنى لعدد العُقد التي يمكن أن تكون موجودة في نظام المجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عُقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تصل جميع العقد في مجموعة النظام إلى نفس مخزن بيانات المفتاح، وتسجيل نشاط السجل إلى نفس خادم سجل النظام. العُقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة روبن مستديرة، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Partner Hub. لإزالة عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا دعت الحاجة لذلك.

مركز البيانات الاحتياطي للتعافي من الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات آمن في حالة الاستعداد. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر الخاصة بك إلى مركز البيانات الاحتياطي.

قبل تجاوز الفشل، يحتوي Data Center A على عُقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، في حين يحتوي B على نسخة من ملف ISO مع تكوينات إضافية وVMs المسجلة في المؤسسة وقاعدة بيانات احتياطية. بعد تجاوز الفشل، يحتوي مركز البيانات B على عقد HDS وقاعدة البيانات الأساسية النشطة، بينما يحتوي A على VMs غير مسجلة ونسخة من ملف ISO، وقاعدة البيانات في وضع الاستعداد.
تجاوز الفشل اليدوي إلى مركز بيانات الاستعداد

قواعد البيانات الخاصة بمراكز البيانات النشطة والاحتياطية متزامنة مع بعضها البعض مما يقلل الوقت المستغرق لتنفيذ تجاوز الفشل.

يجب أن تكون عُقد Hybrid Data Security النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

  • لا يوجد وكيل— يكون الإعداد الافتراضي إذا كنت لا تستخدم تكوين مخزن الثقة والوكيل لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.

  • وكيل شفاف غير فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.

  • نفق شفاف أو وكيل فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).

  • وكيل صريح— من خلال وكيل صريح، يمكنك إخبار عُقد HDS بخادم الوكيل ونظام المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— بناءً على ما يدعمه الخادم الوكيل، اختر من بين البروتوكولات التالية:

      • HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.

      • HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمان البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة متعدد المستأجرين:

  • المؤسسات الشريكة: اتصل بشريك Cisco أو مدير حسابك وتأكد من تمكين ميزة المستأجر المتعدد.

  • مؤسسات المستأجر: يجب أن يكون لديك Pro Pack في Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قام Docker بتحديث نموذج الترخيص الخاص به مؤخرًا. قد تتطلب مؤسستك اشتراك مدفوع لـ Docker Desktop. للحصول على التفاصيل، ارجع إلى منشور مدونة Docker، "يقوم Docker بتحديث اشتراكات منتجاتنا وتوسيع نطاقها".

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادات بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر Hybrid Data Security

المتطلبات

التفاصيل

  • موقعّة بواسطة مرجع مصدق موثوق به (CA)

بشكل افتراضي، نحن نثق في جهات التنسيق الإدارية الموجودة في قائمة Mozilla (باستثناء WoSign وStartCom) على https://wiki.mozilla.org/CA:IncludedCAs.

  • يحمل اسم مجال "اسم مشترك" (CN) يحدد عملية نشر Hybrid Data Security

  • ليست شهادة حرف بدل

لا يلزم أن يكون CN قابلاً للوصول إليه أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، hds.company.com.

يجب ألا يحتوي CN على * (حرف بدل).

يتم استخدام CN للتحقق من عُقد Hybrid Data Security لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS الخاص بك نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN.

بمجرد تسجيل عقدة باستخدام هذه الشهادة، لا ندعم تغيير اسم مجال CN.

  • توقيع غير SHA1

لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.

  • تم تنسيقه كملف PKCS #12 محمي بكلمة مرور

  • استخدم الاسم الودي kms-private-key لتمييز الشهادة والمفتاح الخاص وأي شهادات وسيطة ليتم تحميلها.

يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك.

سيتعين عليك إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض جهات منح الشهادات تطبيق قيود استخدام المفاتيح الموسعة على كل شهادة، مثل مصادقة الخادم. من المقبول استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يتمتع المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك بالمتطلبات التالية:

  • تم وضع مضيفان منفصلان على الأقل (3 موصى به) في نفس مركز البيانات الآمن

  • VMware ESXi 7.0 (أو إصدار أحدث) مثبت وقيد التشغيل.

    يجب الترقية إذا كان لديك إصدار سابق من ESXi.

  • الحد الأدنى 4 وحدات معالجة مركزية vCPU، والذاكرة الرئيسية 8 جيجابايت، ومساحة القرص الصلب المحلية 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. تقوم تطبيقات HDS، عند تثبيتها، بإنشاء مخطط قاعدة البيانات.

يوجد خياران لخادم قاعدة البيانات. المتطلبات الخاصة بكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بريدSQL

خادم Microsoft SQL

  • PostgreSQL 14 أو 15 أو 16 مثبتة وقيد التشغيل.

  • تم تثبيت SQL Server 2016 أو 2017 أو 2019 أو 2022 (المؤسسة أو Standard).

    يتطلب SQL Server 2016 Service Pack 2 وCumulative Update 2 أو إصدار أحدث.

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

بريدSQL

خادم Microsoft SQL

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت ترغب في أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

  • يجب مزامنة عُقد HDS والبنية التحتية لـ Active Directory وخادم MS SQL مع NTP.

  • يجب أن يكون لدى حساب Windows الذي تقدمه إلى عُقد HDS صلاحية الوصول للقراءة/الكتابة إلى قاعدة البيانات.

  • يجب أن تكون خوادم DNS التي تقدمها إلى عُقد HDS قادرة على حل مركز توزيع المفاتيح (KDC) الخاص بك.

  • يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL Server كاسم أساسي للخدمة (SPN) على Active Directory الخاص بك. ارجع إلى تسجيل الاسم الأساسي للخدمة لاتصالات Kerberos.

    تحتاج أداة إعداد HDS ومطلق HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح. وهم يستخدمون التفاصيل الواردة في تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق

البروتوكول

المنفذ

الاتجاه من التطبيق

الوجهة

عُقد أمان البيانات الهجينة

TCP

443

HTTPS وWSS الصادرة

  • خوادم Webex:

    • * .wbx2.com

    • *.ciscospark.com

  • كل مضيفين Common Identity

  • عناوين URL الأخرى المدرجة في أمان البيانات الهجينة في جدول عناوين URL الإضافية لخدمات Webex الهجينةمتطلبات الشبكة لخدمات Webex

أداة إعداد HDS

TCP

443

HTTPS الصادر

  • * .wbx2.com

  • كل مضيفين Common Identity

  • hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عُقد Hybrid Data Security، يجب ألا تكون أي منافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفين الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة

عناوين URL لمضيف الهوية الشائعة

الأمريكتان

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

الاتحاد الأوروبي

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

كندا

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

سنغافورة

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

الإمارات العربية المتحدة

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

متطلبات الخادم الوكيل

  • نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

    • وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

    • وكيل صريح - الحبار.

      يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للعمل على هذه المشكلة، ارجع إلى تكوين وكلاء Squid لأمن البيانات الهجينة.

  • نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:

    • لا توجد مصادقة باستخدام HTTP أو HTTPS

    • المصادقة الأساسية باستخدام HTTP أو HTTPS

    • تلخيص المصادقة باستخدام HTTPS فقط

  • للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.

  • يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.

  • قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيؤدي تجاوز (عدم فحص) حركة المرور إلى wbx2.com ciscospark.com إلى حل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من أنك جاهز لتثبيت وتهيئة مجموعة Hybrid Data Security.
1

تأكد من تمكين ميزة HDS متعددة المستأجرين في مؤسسة شريكك، واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل لدى الشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex لديك من أجل Pro Pack في Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير حسابك للحصول على المساعدة بشأن هذه العملية.

يجب ألا يكون لدى مؤسسات العملاء أي نشر حالي لـ HDS.

2

اختر اسم مجال لنشر HDS (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.

3

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (3 موصى بها) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.

4

قم بتهيئة خادم قاعدة البيانات الذي سيعمل كمخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب وضع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين.

  1. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، تقوم بإنشاء مخطط قاعدة البيانات.)

  2. اجمع التفاصيل التي ستستخدم العقد للاتصال بخادم قاعدة البيانات:

    • اسم المضيف أو عنوان IP (المضيف) والمنفذ

    • اسم قاعدة البيانات (dbname) لتخزين المفاتيح

    • اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح

5

للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM.

6

قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان الشبكة ومنفذ سجل النظام (الإعداد الافتراضي هو UDP 514).

7

قم بإنشاء سياسة نسخ احتياطي آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات التي لا يمكن استردادها، يجب أن تقوم بنسخ قاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه من أجل عُقد Hybrid Data Security.

نظرًا لأن عُقد Hybrid Data Security تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان لا يمكن إصلاحه لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذلك قد لا يظهر انقطاع الخدمة على الفور ولكن سيصبح واضحًا بمرور الوقت. في حين أنه من المستحيل منع الانقطاع المؤقت، إلا أنه قابل للاسترداد. ومع ذلك، فإن الفقدان الكامل (لا توجد نسخ احتياطية متوفرة) إما لقاعدة البيانات أو ملف ISO للتكوين سيؤدي إلى بيانات العميل غير قابلة للاسترداد. من المتوقع أن يقوم مشغلو Hybrid Data Security بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO الخاص بالتكوين، وأن يكونوا على استعداد لإعادة بناء مركز بيانات Hybrid Data Security في حالة حدوث فشل كارثي.

8

تأكد من أن تكوين جدار الحماية يسمح بإمكانية الاتصال لعقد Hybrid Data Security الخاصة بك كما هو موضح في متطلبات الاتصال الخارجي.

9

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يقوم بتشغيل نظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) باستخدام مستعرض ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

يمكنك استخدام مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. للحصول على مزيد من المعلومات، ارجع إلى متطلبات سطح مكتب Docker .

لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي إمكانية الاتصال الموضحة في متطلبات الاتصال الخارجي.

10

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

قبل البدء

1

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.

2

قم بإنشاء ISO للتكوين لمضيفين HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.

3

تثبيت مضيف HDS OVA

قم بإنشاء جهاز ظاهري من ملف OVA وقم بتنفيذ التكوين المبدئي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

4

إعداد Hybrid Data Security VM

سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تكن قد قمت بتكوينها في وقت نشر OVA.

5

تحميل ISO لتكوين HDS وتثبيته

قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

6

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين الوكيل، فحدد نوع الوكيل الذي ستستخدمه للعُقدة، وأضف شهادة الوكيل إلى المخزن الموثوق به إذا دعت الحاجة لذلك.

7

تسجيل أول عقدة في المجموعة

قم بتسجيل VM باستخدام Cisco Webex Cloud كعقدة Hybrid Data Security.

8

إنشاء وتسجيل المزيد من العُقد

أكمل إعداد مجموعة النظام.

9

تنشيط HDS متعدد المستأجرين على Partner Hub.

قم بتنشيط HDS وإدارة مؤسسات المستأجرين على Partner Hub.

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1

سجّل الدخول إلى Partner Hub، ثم انقر على الخدمات.

2

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security، ثم انقر على إعداد.

يعد النقر على إعداد في Partner Hub أمرًا مهمًا لعملية النشر. لا تقم بمتابعة التثبيت دون إكمال هذه الخطوة.

3

انقر على إضافة مورد وانقر على تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج .

لن تتوافق الإصدارات القديمة من حزمة البرامج (OVA) مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى حدوث مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم التعليمات . انقر على الإعدادات > تعليمات > تنزيل برنامج Hybrid Data Security.

يبدأ ملف OVA تلقائيًا في التنزيل. احفظ الملف في موقع على جهازك.
4

بشكل اختياري، انقر على الاطلاع على دليل نشر أمان البيانات الهجينة للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا أم لا.

قم بإنشاء ISO للتكوين لمضيفين HDS

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

قبل البدء
1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، لديك هذه الخيارات:

  • لا— إذا كنت تقوم بإنشاء أول عقدة HDS لديك، فلن يكون لديك ملف ISO ليتم تحميله.
  • نعم— إذا قمت بإنشاء عقد HDS بالفعل، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.
10

تحقق من أن شهادة X.509 الخاصة بك تفي بالمتطلبات الواردة في متطلبات شهادة X.509.

  • إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، وانقر على متابعة.
  • إذا كانت شهادتك موافق، فانقر على متابعة.
  • إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لا من أجل متابعة استخدام سلسلة شهادات HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.
11

أدخل عنوان قاعدة البيانات والحساب لـ HDS للوصول إلى مخزن بيانات المفتاح:

  1. حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

    إذا اخترت Microsoft SQL Server، فستحصل على حقل "نوع المصادقة".

  2. (Microsoft SQL Server فقط) حدد نوع المصادقة لديك:

    • المصادقة الأساسية: تحتاج إلى اسم حساب SQL Server محلي في حقل اسم المستخدم .

    • مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم .

  3. أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

    مثال:
    dbhost.example.org:1433 أو 198.51.100.17:1433

    يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا تعذر على العقد استخدام DNS لحل اسم المضيف.

    إذا كنت تستخدم مصادقة Windows، فيجب إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433

  4. أدخل اسم قاعدة البيانات.

  5. أدخل اسم المستخدم وكلمة المرور الخاصة بمستخدم يتمتع بجميع الامتيازات في قاعدة بيانات تخزين المفاتيح.

12

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عُقد HDS من TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فتحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

يتطلب TLS والتحقق من موقِّع الشهادة

لا يمكن تطبيق هذا الوضع لقواعد بيانات SQL Server.

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

يتطلب TLS والتحقق من توقيع الشهادة واسم المضيف

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

  • تتحقق العقد أيضًا من أن اسم المضيف الموجود في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، أو ينقطع الاتصال عن العقدة.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقّع الشهادة واسم المضيف، إن أمكن. في حالة فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ والاستمرار في عملية الإعداد. (بسبب الاختلافات في الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختبارها بنجاح.)

13

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

  1. أدخل عنوان URL لخادم سجل النظام.

    إذا لم يكن الخادم قادرًا على حل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

    مثال:
    udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd رقم 10.92.43.23 على منفذ UDP رقم 514.

  2. إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فحدد هل تم تكوين خادم سجل النظام لتشفير SSL؟.

    إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.

  3. من القائمة المنسدلة اختيار إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: اختر ما إذا كان يتم استخدام سطر جديد لـ Graylog وRsyslog TCP

    • بايت فارغة -- \x00

    • سطر جديد -- \n— حدد هذا الخيار لـ Graylog وRsyslog TCP.

  4. انقر على متابعة.

14

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxالحجم: 10
15

انقر على متابعة في شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتكون كلمات مرور حسابات الخدمة من تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو عندما ترغب في إعادة تعيينها لإلغاء صلاحية ملفات ISO السابقة.

16

انقر على تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

17

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي.

حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

18

لإيقاف أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بنسخ ملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العُقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع النسخ من ملف ISO، فقد أيضا المفتاح الرئيسي. لا يمكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا أبدًا نسخة من هذا المفتاح ولا يمكننا المساعدة إذا فقدته.

تثبيت مضيف HDS OVA

استخدم هذا الإجراء لإنشاء جهاز ظاهري من ملف OVA.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.

2

حدد ملف > نشر قالب OVF.

3

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر على التالي.

4

في صفحة تحديد اسم ومجلد ، أدخل اسم جهاز ظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن توجد فيه نشر عقدة الجهاز الظاهري، ثم انقر على التالي.

5

في صفحة تحديد مورد حساب ، اختر مورد حساب الوجهة، ثم انقر على التالي.

يتم تشغيل التحقق من الصحة. بعد الانتهاء، تظهر تفاصيل القالب.

6

تحقق من تفاصيل القالب ثم انقر على التالي.

7

إذا طُلب منك اختيار تكوين المورد في صفحة التكوين ، فانقر على 4 وحدة المعالجة المركزية ثم انقر على التالي.

8

في صفحة تحديد التخزين ، انقر على التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.

9

في صفحة تحديد الشبكات ، حدد خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.

10

في صفحة تخصيص قالب ، قم بتكوين إعدادات الشبكة التالية:

  • اسم المضيف— أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف كلمة واحدة للعُقدة.

    • لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

    • لضمان التسجيل بنجاح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعُقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.

    • يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا.

  • عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

    يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

  • قناع— أدخل عنوان قناع الشبكة الفرعية في رمز عشري. على سبيل المثال، 255.255.255.0.
  • البوابة— أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
  • خوادم DNS— أدخل قائمة بخوادم DNS مفصولة بفواصل، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
  • خوادم NTP— أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة.

  • قم بنشر كل العقد على نفس الشبكة الفرعية أو VLAN، بحيث يمكن الوصول إلى كل العقد في المجموعة من العملاء في شبكتك لأغراض إدارية.

في حال تفضيل ذلك، يمكنك تخطي تكوين إعداد الشبكة واتباع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة تحكم العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

11

انقر بزر الماوس الأيمن على العقدة VM، ثم اختر التشغيل > التشغيل.

تم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن مستعد لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لبضع دقائق قبل وصول حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والذي لا يمكنك تسجيل الدخول خلاله.

إعداد Hybrid Data Security VM

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security لأول مرة وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1

في عميل VMware vSphere، حدد VM node Hybrid Data Security وحدد علامة التبويب وحدة التحكم .

يتم تشغيل VM وتظهر مطالبة لتسجيل الدخول. إذا لم يتم عرض المطالبة بتسجيل الدخول، فاضغط على Enter.
2

استخدم تسجيل الدخول الافتراضي وكلمة المرور التالية لتسجيل الدخول وتغيير بيانات الاعتماد:

  1. تسجيل الدخول: المسؤول

  2. كلمة المرور: سيسكو

بما أنك تقوم بتسجيل الدخول إلى VM لأول مرة، يتعين عليك تغيير كلمة مرور المسؤول.

3

إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت OVA مضيف HDS، فتجاهل بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين .

4

إعداد تكوين ثابت باستخدام عنوان IP وقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

5

(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة لديك.

لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

6

احفظ تكوين الشبكة وأعد تشغيل VM حتى تسري التغييرات.

تحميل ISO لتكوين HDS وتثبيته

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحتوي على المفتاح الرئيسي، يجب أن يتم عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أنظمة إدارة البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى مخزن البيانات.

1

تحميل ملف ISO من جهاز الكمبيوتر:

  1. في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.

  2. في قائمة الأجهزة من علامة تبويب التكوين، انقر على التخزين.

  3. في قائمة مخزن البيانات، انقر بزر الماوس الأيمن على مخزن بيانات ملفات VM الخاصة بك وانقر على استعراض مخزن البيانات.

  4. انقر على رمز تحميل الملفات، ثم انقر على تحميل ملف.

  5. استعرض الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر على فتح.

  6. انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار مخزن البيانات.

2

تركيب ملف ISO:

  1. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  2. انقر على موافق لقبول تحذير خيارات التحرير المقيدة.

  3. انقر على CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO مخزن بيانات، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين فيه.

  4. حدد خيار متصل والاتصال عند التشغيل.

  5. احفظ تغييراتك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات لديك تتطلب، فيمكنك بشكل اختياري إلغاء تثبيت ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

1

أدخل عنوان URL لإعداد عقدة HDS https://[HDS Node IP أو FQDN]/الإعداد في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.

2

انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا:

  • لا يوجد وكيل— الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة.
  • وكيل غير فحص شفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.
  • وكيل الفحص الشفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
  • وكيل صريح— باستخدام وكيل صريح، يمكنك إخبار العميل (عُقد HDS) بخادم الوكيل الذي سيتم استخدامه، ويدعم هذا الخيار العديد من أنواع المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— اختر http (يعرض جميع الطلبات التي يتم استلامها من العميل ويتحكم فيها) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر لبروكسيات HTTP أو HTTPS.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر لبروكسيات HTTP أو HTTPS.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر لبروكسيات HTTPS فقط.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.

3

انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل.

تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.

4

انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل.

إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك الاستمرار في الإعداد، وستعمل العقدة في وضع تحليل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا الخطأ، فقم باستكمال هذه الخطوات، ثم ارجع إلى إيقاف تشغيل وضع تحليل DNS الخارجي المحظور.

5

بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.

6

انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا.

تتم إعادة تشغيل العقدة في غضون بضع دقائق.

7

بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء.

يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل أول عقدة في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة بسحابة Webex، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على واحد أو أكثر من العُقد التي تم نشرها لتوفير التكرار.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security وانقر على إعداد.

4

في الصفحة التي يتم فتحها، انقر على إضافة مورد.

5

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي ترغب في تعيين عقدة Hybrid Data Security لها.

نوصي بتسمية مجموعة بناءً على موقع عقد المجموعة جغرافيًا. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

6

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في Webex.
7

انقر على الانتقال إلى العقدة.

بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

8

حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9

انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

في صفحة أمن البيانات الهجينة ، يتم عرض مجموعة النظام الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة تبويب الموارد . ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العُقد

لإضافة عقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء وحدات VM إضافية وتركيب نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

قم بإنشاء جهاز ظاهري جديد من OVA، وكرر الخطوات الواردة في تثبيت HDS Host OVA.

2

قم بإعداد التكوين الأولي على VM الجديد، وكرر الخطوات الواردة في إعداد Hybrid Data Security VM.

3

في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت ISO لتكوين HDS.

4

إذا كنت تقوم بإعداد وكيل للنشر، فكرر الخطوات الواردة في تكوين عقدة HDS لدمج الوكيل حسب الحاجة للعقدة الجديدة.

5

تسجيل العقدة.

  1. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

  2. في قسم الخدمات السحابية، ابحث عن بطاقة أمان البيانات الهجينة وانقر على عرض الكل.

    تظهر صفحة موارد Hybrid Data Security.

  3. ستظهر مجموعة النظام التي تم إنشاؤها حديثًا في صفحة الموارد .

  4. انقر على المجموعة لعرض العقد المعينة للمجموعة.

  5. انقر على إضافة عقدة على الجانب الأيمن من الشاشة.

  6. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة.

    تفتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسستك للوصول إلى العقدة الخاصة بك.

  7. حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

    تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.

  8. انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

    تظهر الرسالة المنبثقة التي تمت إضافة العقدة أيضًا في أسفل الشاشة في Partner Hub.

    تم تسجيل العقدة الخاصة بك.

إدارة مؤسسات المستأجرين على "أمان البيانات الهجينة متعددة المستأجرين"

تنشيط HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من بدء الاستفادة من HDS لمفاتيح التشفير الداخلية والخدمات الأمنية الأخرى.

قبل البدء

تأكد من إكمال إعداد مجموعة HDS متعددة المستأجرين باستخدام العدد المطلوب من العقد.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

4

انقر على تنشيط HDS على بطاقة حالة HDS .

إضافة مؤسسات مستأجرة في Partner Hub

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة Hybrid Data Security الخاصة بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

انقر على المجموعة التي تريد تعيين العميل لها.

5

انتقل إلى علامة تبويب العملاء المعينين .

6

انقر على إضافة عملاء.

7

حدد العميل الذي تريد إضافته من القائمة المنسدلة.

8

انقر على إضافة، ستتم إضافة العميل إلى مجموعة النظام.

9

كرر الخطوات من 6 إلى 8 لإضافة عملاء متعددين إلى المجموعة الخاصة بك.

10

انقر على تم في الجزء السفلي من الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو مفصل في إنشاء المفاتيح الرئيسية للعملاء (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء المفاتيح الرئيسية للعملاء (CMK) باستخدام أداة إعداد HDS

قبل البدء

قم بتعيين العملاء إلى المجموعة المناسبة كما هو مفصل في إضافة مؤسسات مستأجر في Partner Hub. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد لمؤسسات العملاء المضافة حديثًا.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

تأكد من الاتصال بقاعدة البيانات الخاصة بك لتنفيذ إدارة CMK.
11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إنشاء CMK لجميع المؤسسات أو إنشاء CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإنشاء CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إنشاء ملفات CMK لإنشاء ملفات CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على … بالقرب من حالة انتظار إدارة CMK لمؤسسة معينة في الجدول وانقر على إنشاء CMK لإنشاء CMK لتلك المؤسسة.
12

بمجرد نجاح إنشاء CMK، ستتغير الحالة الموجودة في الجدول من إدارة CMK معلقة إلى إدارة CMK.

13

إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة مؤسسات المستأجر

قبل البدء

بمجرد إزالتها، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسيفقدون كل المساحات الحالية. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب لديك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

في علامة تبويب الموارد ، انقر على المجموعة التي تريد إزالة مؤسسات العملاء منها.

5

في الصفحة التي يتم فتحها، انقر على العملاء المعينين.

6

من قائمة مؤسسات العملاء التي يتم عرضها، انقر على ... على الجانب الأيمن من مؤسسة العميل التي ترغب في إزالتها وانقر على إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إبطال CMK لمؤسسات العملاء كما هو مفصل في إبطال CMK للمستأجرين الذين تمت إزالتهم من HDS.

إبطال وحدات CMK للمستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

قم بإزالة العملاء من المجموعة المناسبة كما هو مفصل في إزالة مؤسسات المستأجر. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة لمؤسسات العملاء التي تمت إزالتها.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إبطال ملف CMK لجميع المؤسسات أو إبطال ملف CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإبطال ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إلغاء ملفات CMK لإلغاء ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على بالقرب من حالة CMK المراد إبطاله لمؤسسة معينة في الجدول، وانقر على إبطال CMK لإبطال CMK لتلك المؤسسة المحددة.
12

بمجرد نجاح إبطال CMK، لن تظهر مؤسسة العميل في الجدول بعد الآن.

13

إذا لم ينجح إبطال CMK، فسيتم عرض خطأ.

اختبار نشر Hybrid Data Security الخاص بك

اختبار نشر Hybrid Data Security الخاص بك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير Hybrid Data Security متعددة المستأجرين.

قبل البدء

  • قم بإعداد نشر Hybrid Data Security متعدد المستأجرين.

  • تأكد من امتلاكك صلاحية الوصول إلى سجل النظام للتحقق من تمرير طلبات المفاتيح إلى عملية نشر Hybrid Data Security متعددة المستأجرين.

1

يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. سجّل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر Hybrid Data Security، فلن يتاح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون بمجرد استبدال النسخ المخزنة مؤقتًا من مفاتيح التشفير.

2

إرسال الرسائل إلى المساحة الجديدة.

3

تحقق من مخرجات سجل النظام للتحقق من أن طلبات المفاتيح تنتقل إلى نشر Hybrid Data Security الخاص بك.

  1. للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_collection:

    يجب العثور على إدخال مثل ما يلي (المعرفات مختصرة من أجل قابلية القراءة):
    2020-07-21 17:35:34.562 (+0000) معلومات KMS [pool-14-thread-1] - [KMS:REQUEST] تم استلامها، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ إيدهي كيد: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_collection, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. للتحقق من مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية في kms.data.method=retrieve وkms.data.type=KEY:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:19.889 (+0000) معلومات KMS [pool-14-thread-31] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. للتحقق من مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية في kms.data.method=create وkms.data.type=KEY_collection:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:21.975 (+0000) معلومات KMS [pool-14-thread-33] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_collection, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. للتحقق من وجود مستخدم يطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد آخر محمي، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

    يجب عليك العثور على إدخال مثل: 
    2020-07-21 17:44:22.808 (+0000) معلومات KMS [POOL-15-THREAD-1] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_collection, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security متعدد المستأجرين. للحصول على تنبيه أكثر استباقية، سجّل الاشتراك للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود تنبيهات تؤثر على الخدمات أو ترقيات للبرامج.
1

في Partner Hub، حدد الخدمات من القائمة على الجانب الأيسر من الشاشة.

2

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

تظهر صفحة إعدادات Hybrid Data Security.
3

في قسم "إشعارات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولاً بفواصل، واضغط على Enter.

إدارة نشر HDS

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security الخاص بك.

تعيين جدول ترقية المجموعة

يتم تنفيذ ترقيات البرامج لـ Hybrid Data Security تلقائيًا على مستوى المجموعة، مما يضمن تشغيل نفس إصدار البرنامج في جميع العقد دائمًا. يتم تنفيذ الترقيات وفقًا للجدول الزمني لترقية المجموعة. عندما تصبح ترقية برنامج متاحة، لديك خيار ترقية مجموعة النظام يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1

سجل الدخول إلى مركز الشركاء.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على إعداد

4

في صفحة موارد أمن البيانات الهجينة، حدد مجموعة النظام.

5

انقر على علامة التبويب إعدادات المجموعة .

6

في صفحة إعدادات المجموعة، ضمن "جدول الترقية"، حدد الوقت والمنطقة الزمنية لجدول الترقية.

ملاحظات ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتوفر التاليين. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

  • تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

    لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

  • تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

    لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

  • إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

  • إعادة التعيين السلس— تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.

  • إعادة التعيين الصعب— تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق مسؤول الشريك الكاملة.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    وكيل HTTP_عام__الوكيل=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    وكيل HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ

    وكيل HTTP مع المصادقة

    وكيل HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    وكيل عام_HTTPS__proxy=http://username:password@server_IP:المنفذ

  • أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

  1. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

    في البيئات العادية:

    docker rmi ciscocitg / hds-setup: stable

    في بيئات FedRAMP:

    docker rmi ciscocitg / hds-setup-fedramp: stable

    تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

  2. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

    دوكر تسجيل الدخول - u hdscustomersro

  3. في موجه كلمة المرور ، أدخل هذه التجزئة:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. قم بتنزيل أحدث صورة مستقرة لبيئتك:

    في البيئات العادية:

    دوكر سحب ciscocitg / hds-setup: مستقر

    في بيئات FedRAMP:

    دوكر سحب ciscocitg / hds-setup-fedramp: stable

    تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

  5. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

    • في البيئات العادية بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

    • في البيئات العادية باستخدام وكيل HTTP:

      docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام HTTPSproxy:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في بيئات FedRAMP بدون وكيل:

      دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

    • في بيئات FedRAMP باستخدام وكيل HTTP:

      docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTPS:

      تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    عند تشغيل الحاوية، سترى "الاستماع السريع إلى الخادم على المنفذ 8080".

  6. استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

    لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

  7. أدخل بيانات اعتماد تسجيل دخول عميل Partner Hub الخاص بك عند مطالبتك بذلك، ثم انقر على قبول للمتابعة.

  8. قم باستيراد ملف ISO للتكوين الحالي.

  9. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

    لإيقاف أداة الإعداد، اكتب CTRL+C.

  10. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

2

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فقم بإنشاء Hybrid Data Security Node VM جديدة وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على إرشادات تفصيلية، ارجع إلى إنشاء وتسجيل المزيد من العُقد.

  1. قم بتثبيت مضيف HDS OVA.

  2. قم بإعداد HDS VM.

  3. قم بتحميل ملف التكوين المحدث.

  4. تسجيل العقدة الجديدة في Partner Hub.

3

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

  1. قم بإيقاف تشغيل الآلة الافتراضية.

  2. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  3. انقر فوق محرك الأقراص المضغوطة/أقراص DVD 1، وحدد خيار التحميل من ملف ISO، واستعرض وصولا إلى الموقع الذي قمت بتنزيل ملف ISO الجديد منه للتكوين.

  4. حدد التوصيل أثناء التشغيل .

  5. احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

4

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.
1

في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.

2

انتقل إلى نظرة عامة (الصفحة الافتراضية).

عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.

3

انتقل إلى صفحة متجر الثقة والوكيل .

4

انقر فوق التحقق من اتصال الوكيل.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة Hybrid Data Security من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وإيقاف تشغيل الجهاز الظاهري.

2

إزالة العقدة:

  1. سجّل الدخول إلى Partner Hub، ثم حدد الخدمات.

  2. في بطاقة Hybrid Data Security، انقر على عرض الكل لعرض صفحة موارد Hybrid Data Security.

  3. حدد مجموعتك لعرض لوحة النظرة العامة الخاصة بها.

  4. انقر على العقدة التي تريد إزالتها.

  5. انقر على إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين

  6. يمكنك أيضًا إلغاء تسجيل العقدة عن طريق النقر على الجانب الأيمن من العقدة وتحديد إزالة هذه العقدة.

3

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر على حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. دون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

تتمثل الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security الخاصة بك في إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. لكل مستخدم داخل المؤسسة تم تعيينه لـ Hybrid Data Security، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى مجموعة النظام. وتتحمل المجموعة أيضًا مسؤولية إرجاع المفاتيح التي أنشأتها إلى أي مستخدمين مصرح باستعادتها، على سبيل المثال، أعضاء مساحة محادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحرجة المتمثلة في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل والحفاظ على النسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو تكوين ISO المستخدم للمخطط إلى فقدان محتوى العميل لا يمكن استرداده. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت الكارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

قم بإلغاء تسجيل جميع العقد من Partner Hub كما هو مذكور في إزالة عقدة. استخدم أحدث ملف ISO تم تكوينه مقابل عقد المجموعة النشطة من قبل، لتنفيذ إجراء تجاوز الفشل المذكور أدناه.
1

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS.

2

أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.

3

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

4

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

5

انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO.

تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.

6

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.

7

تسجيل العقدة في Partner Hub. ارجع إلى تسجيل أول عقدة في المجموعة.

8

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بإلغاء تسجيل عقد مركز البيانات الاحتياطي وكرر عملية تكوين ISO وتسجيل عقد مركز البيانات الأساسي كما هو مذكور أعلاه.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يعمل تكوين HDS القياسي مع تثبيت ISO. ولكن، يفضل بعض العملاء عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط جميع عُقد HDS التكوين الجديد.

ما زلت تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن يتم التقاط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية كل عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1

أغلق إحدى عُقد HDS الخاصة بك.

2

في جهاز خادم vCenter، حدد عقدة HDS.

3

اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف ISO لتخزين البيانات.

4

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 20 دقيقة على الأقل.

5

التكرار لكل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يتم اعتبار نشر Hybrid Data Security غير متاح إذا تعذر الوصول إلى كل العقد في المجموعة، أو كانت المجموعة تعمل ببطء شديد ويتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسيتعرضون للأعراض التالية:

  • لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)

  • فشل فك تشفير الرسائل وعناوين المساحات من أجل:

    • تم إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)

    • المستخدمون الموجودون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)

  • سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح ما دام العملاء لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تقوم بمراقبة مجموعة Hybrid Data Security الخاصة بك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد Hybrid Data Security، فسيعرض Partner Hub التنبيهات إلى مسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشاكل الشائعة وخطوات حلها

تنبيه

الإجراء

فشل الوصول إلى قاعدة البيانات المحلية.

التحقق من وجود أخطاء في قاعدة البيانات أو مشاكل في الشبكة المحلية.

فشل في اتصال قاعدة البيانات المحلية.

تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.

فشل الوصول إلى الخدمة السحابية.

تحقق من إمكانية وصول العقد إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.

تجديد تسجيل خدمة السحابة.

تم إسقاط التسجيل في خدمات السحابة. تجديد التسجيل قيد التقدم.

تم إسقاط تسجيل الخدمة السحابية.

تم إنهاء التسجيل في خدمات السحابة. تم إيقاف تشغيل الخدمة.

لم يتم تنشيط الخدمة بعد.

تنشيط HDS في Partner Hub.

لا يتطابق المجال الذي تم تكوينه مع شهادة الخادم.

تأكد من أن شهادة الخادم لديك تطابق مجال تنشيط الخدمة الذي تم تكوينه.

السبب الأكثر احتمالاً هو أن CN الخاص بالشهادة تم تغييرها مؤخرًا وهي الآن مختلفة عن CN الذي تم استخدامه أثناء الإعداد الأولي.

فشلت المصادقة لخدمات السحابة.

تحقق من دقة بيانات اعتماد حساب الخدمة واحتمال انتهاء صلاحيتها.

فشل فتح ملف مخزن المفاتيح المحلي.

تحقق من السلامة وكلمة المرور في ملف متجر المفاتيح المحلي.

شهادة الخادم المحلي غير صالحة.

تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أنه تم إصدارها من قبل مرجع شهادة موثوق فيه.

يتعذر نشر القياسات.

تحقق من وصول الشبكة المحلية إلى خدمات السحابة الخارجية.

دليل /media/configdrive/hds غير موجود.

تحقق من تكوين تثبيت ISO على المضيف الظاهري. تحقق من وجود ملف ISO ومن تكوينه للتثبيت عند إعادة التمهيد ومن أنه تم تثبيته بنجاح.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تمت إضافتها

أكمل الإعداد عن طريق إنشاء وحدات CMK لمؤسسات المستأجرين المضافة حديثًا باستخدام أداة إعداد HDS.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تم إزالتها

أكمل الإعداد عن طريق إلغاء CMK لمؤسسات المستأجر التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.
1

راجع Partner Hub للاطلاع على أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للرجوع إليها.

2

راجع إخراج خادم سجل النظام للنشاط الناتج عن نشر Hybrid Data Security. قم بالتصفية لكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.

3

تواصل مع دعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

  • إذا قمت بإغلاق مجموعة Hybrid Data Security (عن طريق حذفها في Partner Hub أو بإغلاق كل العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت صلاحية الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يستطيع مستخدمو تطبيق Webex في مؤسسات العملاء استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام المفاتيح من KMS الخاص بك. ليس لدينا حاليًا حل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف خدمات HDS الخاصة بك بمجرد معالجة حسابات المستخدمين النشطين.

  • يحتفظ العميل الذي لديه اتصال حالي بـ ECDH بـ KMS بهذا الاتصال لفترة من الوقت (ربما ساعة واحدة).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

  • OpenSSL هي أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع واحدة على الأخرى.

  • إذا اخترت استخدام OpenSSL، فإننا نوفر هذا الإجراء كدليل لمساعدتك على إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. يجب فهم تلك المتطلبات قبل المتابعة.

  • قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرامج والوثائق.

  • قم بإنشاء مفتاح خاص.

  • ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة إصدار الشهادة (CA) لديك.

1

عند استلام شهادة الخادم من المرجع المصدق الخاص بك، احفظ الشهادة باسم hdsnode.pem.

2

اعرض الشهادة كنص، وتحقق من التفاصيل.

openssl x509 -text -noout -في hdsnode.pem

3

استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى hdsnode-bundle.pem. يجب أن يتضمن الملف المجمع شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر، بالتنسيق التالي:

----BEGIN CERTIFICATE------ ## شهادة الخادم. ### -----END CERTIFICATE----------- BEGIN CERTIFICATE------  ### شهادة CA الوسيطة. ### -----END CERTIFICATE--------- BEGIN CERTIFICATE----  ### شهادة CA الجذر. ### -----END CERTIFICATE-----

4

قم بإنشاء ملف .p12 بالاسم الودي kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

تحقق من تفاصيل شهادة الخادم.

  1. openssl pkcs12 -في hdsnode.p12

  2. أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. بعد ذلك، تحقق من أن المفتاح الخاص والشهادة الأولى تتضمن الخطوط friendlyName: مفتاح kms-private-key.

    مثال:

    bash$ openssl pkcs12 -in hdsnode.p12 أدخل كلمة المرور الاستيراد: قام MAC بالتحقق من سمات حقيبة الموافقة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 السمات الرئيسية:  أدخل عبارة مرور PEM: التحقق - أدخل عبارة مرور PEM: -----بدء المفتاح الخاص المشفر-----  ----- نهاية المفتاح الخاص المشفر----- سمات الحقيبة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE------ سمات الحقيبة friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority Issuer X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  ----END CERTIFICATE----

التصرف التالي

ارجع إلى إكمال المتطلبات الأساسية لأمن البيانات الهجينة. ستستخدم ملف hdsnode.p12 ، وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO لتكوين لمضيفين HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عُقد Hybrid Data Security قياسات معينة إلى سحابة Webex. وتشمل هذه قياسات النظام للحد الأقصى لكومة البيانات، وحمل وحدة المعالجة المركزية، وعدد المواضيع؛ والقياسات المتعلقة بالمواضيع المتزامنة وغير المتزامنة؛ والقياسات المتعلقة بالتنبيهات التي تنطوي على حد اتصالات التشفير أو زمن الانتقال أو طول قائمة انتظار الطلب؛ والقياسات المتعلقة بمخزن البيانات؛ وقياسات اتصال التشفير. ترسل العقد مواد مفتاح مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

  • طلبات التشفير من العملاء، الذين يتم توجيههم من خلال خدمة التشفير

  • ترقيات إلى برنامج العقدة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف on_unsupported_protocol التوجيه إلى squid.conf:

on_unsupported_protocol نفق الكل

الحبار 3.5.27

لقد اختبرنا بنجاح أمان البيانات المختلط مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::وصلة server_name_regex mercury-connection ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump نظرة سريعة step1 كل ssl_bump stare step2 كل ssl_bump bump step3 الكل

المعلومات الجديدة والمتغيرة

المعلومات الجديدة والمتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات على المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمن البيانات الهجينة متعدد المستأجرين.

التاريخ

التغييرات التي تمت

4 مارس 2025

30 يناير 2025

تم إضافة إصدار خادم SQL 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.

15 يناير 2025

تم إضافة قيود على أمان البيانات الهجينة متعددة المستأجرين.

8 يناير 2025

تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر على إعداد على بطاقة HDS في Partner Hub هو خطوة مهمة في عملية التثبيت.

7 يناير 2025

تم تحديث متطلبات المضيف الظاهري، وتدفق مهام نشر Hybrid Data Security، وقم بتثبيت OVA لمضيف HDS لإظهار متطلبات جديدة لـ ESXi 7.0.

13 ديسمبر 2024

نشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعدد المستأجرين

تدفق مهام إلغاء تنشيط HDS للمستأجرين متعددين

اتبع هذه الخطوات لإلغاء تنشيط HDS متعدد المستأجرين بشكل كامل.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة فقط بواسطة مسؤول الشريك بصلاحيات كاملة.
1

قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة مؤسسات المستأجر.

2

إبطال وحدات CMK الخاصة بجميع العملاء، كما هو مذكور في إبطال وحدات CMK الخاصة بالمستأجرين الذين تم إزالتهم من HDS..

3

قم بإزالة جميع العقد من جميع المجموعات الخاصة بك، كما هو مذكور في إزالة عقدة.

4

احذف مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين.

  • انقر على المجموعة التي ترغب في حذفها، وحدد حذف هذه المجموعة في الزاوية العلوية اليمنى من صفحة النظرة العامة.
  • في صفحة الموارد، انقر على ... على الجانب الأيمن من مجموعة نظام وحدد إزالة المجموعة.
5

انقر على علامة التبويب الإعدادات في صفحة نظرة عامة على Hybrid Data Security وانقر على إلغاء تنشيط HDS في بطاقة حالة HDS.

بدء استخدام أمان البيانات الهجينة متعدد المستأجرين

نظرة عامة على أمان البيانات الهجينة لمستأجرين متعددين

اعتبارًا من اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف، والذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام المفاتيح الديناميكية المخزنة في KMS على السحابة، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يعمل أمان البيانات الهجينة متعدد المستأجرين على تمكين المؤسسات من الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه أن يؤدي دور موفر الخدمة ويدير التشفير في الموقع وغير ذلك من الخدمات الأمنية. يسمح هذا الإعداد للمؤسسة الشريكة بالتحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أمان بيانات المستخدمين لمؤسسات العملاء من الوصول الخارجي. تقوم المؤسسات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن أن يدعم كل مثيل العديد من مؤسسات العملاء على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

في حين أن المؤسسات الشريكة تتحكم في عملية النشر والإدارة، فإنها لا تملك صلاحية الوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر الوصول على مؤسسات العملاء ومستخدميها.

وهذا يسمح أيضًا للمؤسسات الأصغر بالاستفادة من نظام HDS، حيث أن خدمة إدارة المفاتيح والبنية التحتية الأمنية مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجينة متعدد المستأجرين سيادة البيانات والتحكم فيها

  • المحتوى الذي ينشئه المستخدم محمي من الوصول الخارجي، مثل موفري الخدمات السحابية.
  • يدير الشركاء المحليون الموثوق بهم مفاتيح التشفير للعملاء الذين لديهم بالفعل علاقة راسخة.
  • خيار الدعم الفني المحلي، إذا قدمه الشريك.
  • تدعم محتوى الاجتماعات والمراسلة والاتصال.

يهدف هذا المستند إلى مساعدة المؤسسات الشريكة على إعداد وإدارة العملاء تحت نظام Hybrid Data Security متعدد المستأجرين.

قيود أمان البيانات الهجينة متعددة المستأجرين

  • يجب ألا يكون لدى المؤسسات الشريكة أي نشر حالي لـ HDS نشط في Control Hub.
  • يجب ألا يكون لدى مؤسسات المستأجر أو العملاء التي ترغب في أن يديرها الشريك أي عملية نشر حالية لـ HDS في Control Hub.
  • بمجرد نشر HDS متعدد المستأجرين بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء وكذلك مستخدمي مؤسسة الشريك في الاستفادة من HDS متعدد المستأجرين لخدمات التشفير الخاصة بهم.

    ستكون المؤسسة الشريكة ومؤسسات العملاء التي تديرها على نفس عملية نشر HDS متعددة المستأجرين.

    لن تستخدم مؤسسة الشريك نظام KMS السحابي بعد الآن بعد نشر HDS متعدد المستأجرين.

  • لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
  • في الوقت الحالي، يمكن أن يحتوي كل نشر لشبكة HDS متعددة المستأجرين على مجموعة واحدة فقط، وتحتها عقد متعددة.
  • تتضمن أدوار المسؤول قيودًا معينة؛ ارجع إلى القسم أدناه لمعرفة التفاصيل.

الأدوار في أمان البيانات الهجينة متعددة المستأجرين

  • مسؤول الشريك بصلاحيات كاملة - يمكنه إدارة إعدادات جميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
  • مسؤول الشريك - يمكنه إدارة إعدادات العملاء التي قام المسؤول بتوفيرها أو التي تم تعيينها للمستخدم.
  • المسؤول الكامل - مسؤول المؤسسة الشريكة المصرح له بتنفيذ مهام مثل تعديل إعدادات المؤسسة وإدارة التراخيص وتعيين الأدوار.
  • إعداد وإدارة HDS متعدد المستأجرين بشكل شامل لجميع مؤسسات العملاء - المسؤول الكامل عن الشريك وحقوق المسؤول الكامل المطلوبة.
  • إدارة مؤسسات المستأجرين المعينة - مطلوب المسؤول الشريك وحقوق المسؤول الكامل.

بنية نطاق الأمان

تفصل بنية سحابة Webex بين أنواع الخدمة المختلفة إلى مجالات منفصلة أو مجالات ثقة، كما هو موضح أدناه.

نطاقات الفصل (بدون أمان البيانات الهجينة)

لفهم أمان البيانات الهجينة، دعنا نلقي نظرة أولاً على حالة السحابة النقية هذه، حيث توفر شركة Cisco جميع الوظائف في نطاقات السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يرتبط فيه المستخدمون بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيًا وجسديًا عن نطاق الأمان في مركز البيانات ب. كلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات ج.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

  1. يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم خادم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.

  2. يتم تشفير الرسالة قبل مغادرة العميل. يرسله العميل إلى خدمة الفهرسة، التي تنشئ فهرسات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.

  3. يتم إرسال الرسالة المشفرة إلى خدمة الامتثال من أجل فحوص الامتثال.

  4. يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر أمان البيانات الهجينة، فإنك تنقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع الخاص بك. تظل الخدمات السحابية الأخرى التي تشكل Webex (والتي تشمل الهوية وتخزين المحتوى) موجودة في نطاقات Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة مملوكة لمؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة مؤمنة ECDH. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، فإن KMS لديك توجه الطلب إلى Webex على السحابة من خلال قناة منفصلة لحقوق الإنسان ECDH للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. ارجع إلى إعداد بيئتك لمعرفة تفاصيل عن إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security متعدد المستأجرين.

توقعات نشر Hybrid Data Security

يتطلب نشر Hybrid Data Security التزامًا كبيرًا والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجينة، يجب أن توفر:

سيؤدي الفقدان الكامل لتكوين ISO الذي تقوم بإنشائه لأمن البيانات الهجينة أو قاعدة البيانات التي توفرها إلى فقدان المفاتيح. يمنع فقدان المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط ظاهرًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

  • إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.

  • كن مستعدًا لإجراء التعافي السريع من الكوارث في حالة وقوع كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة عملية نشر Hybrid Data Security متعددة المستأجرين:

  • إعداد أمان البيانات الهجينة— يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج أمان البيانات الهجينة، وبناء مجموعة نظام HDS، وإضافة مؤسسات المستأجرين إلى مجموعة النظام، وإدارة المفاتيح الرئيسية لعملائها (CMK). سيؤدي هذا إلى تمكين جميع المستخدمين في مؤسسات العملاء لديك من استخدام مجموعة Hybrid Data Security لوظائف الأمان.

    يتم تناول مراحل الإعداد والتنشيط والإدارة بالتفصيل في الفصول الثلاثة التالية.

  • الحفاظ على نشر Hybrid Data Security الخاص بك— توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك توفير دعم من المستوى الأول لهذا النشر، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Partner Hub.

  • فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة— إذا واجهتك مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وتذييل المشاكل المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر Hybrid Data Security

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العُقد على مضيفين افتراضيين. تتصل العقد بسحابة Webex من خلال مآخذ ويب آمنة وHTTP آمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على VMs التي توفرها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة Hybrid Data Security خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server المقدم. (يمكنك تكوين Syslogd وتفاصيل اتصال قاعدة البيانات في أداة إعداد HDS.)

نموذج نشر Hybrid Data Security

الحد الأدنى لعدد العُقد التي يمكن أن تكون موجودة في نظام المجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عُقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تصل جميع العقد في مجموعة النظام إلى نفس مخزن بيانات المفتاح، وتسجيل نشاط السجل إلى نفس خادم سجل النظام. العُقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة روبن مستديرة، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Partner Hub. لإزالة عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا دعت الحاجة لذلك.

مركز البيانات الاحتياطي للتعافي من الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات آمن في حالة الاستعداد. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر الخاصة بك إلى مركز البيانات الاحتياطي.

قبل تجاوز الفشل، يحتوي Data Center A على عُقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، في حين يحتوي B على نسخة من ملف ISO مع تكوينات إضافية وVMs المسجلة في المؤسسة وقاعدة بيانات احتياطية. بعد تجاوز الفشل، يحتوي مركز البيانات B على عقد HDS وقاعدة البيانات الأساسية النشطة، بينما يحتوي A على VMs غير مسجلة ونسخة من ملف ISO، وقاعدة البيانات في وضع الاستعداد.
تجاوز الفشل اليدوي إلى مركز بيانات الاستعداد

قواعد البيانات الخاصة بمراكز البيانات النشطة والاحتياطية متزامنة مع بعضها البعض مما يقلل الوقت المستغرق لتنفيذ تجاوز الفشل.

يجب أن تكون عُقد Hybrid Data Security النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

  • لا يوجد وكيل— يكون الإعداد الافتراضي إذا كنت لا تستخدم تكوين مخزن الثقة والوكيل لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.

  • وكيل شفاف غير فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.

  • نفق شفاف أو وكيل فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).

  • وكيل صريح— من خلال وكيل صريح، يمكنك إخبار عُقد HDS بخادم الوكيل ونظام المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— بناءً على ما يدعمه الخادم الوكيل، اختر من بين البروتوكولات التالية:

      • HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.

      • HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمان البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة متعدد المستأجرين:

  • المؤسسات الشريكة: اتصل بشريك Cisco أو مدير حسابك وتأكد من تمكين ميزة المستأجر المتعدد.

  • مؤسسات المستأجر: يجب أن يكون لديك Pro Pack في Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قام Docker بتحديث نموذج الترخيص الخاص به مؤخرًا. قد تتطلب مؤسستك اشتراك مدفوع لـ Docker Desktop. للحصول على التفاصيل، ارجع إلى منشور مدونة Docker، "يقوم Docker بتحديث اشتراكات منتجاتنا وتوسيع نطاقها".

يمكن للعملاء الذين ليس لديهم ترخيص Docker Desktop استخدام أداة إدارة الحاويات مفتوحة المصدر مثل Podman Desktop لتشغيل الحاويات وإدارتها وإنشائها. للحصول على مزيد من التفاصيل، ارجع إلى تشغيل أداة إعداد HDS باستخدام سطح المكتب Podman .

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادات بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر Hybrid Data Security

المتطلبات

التفاصيل

  • موقعّة بواسطة مرجع مصدق موثوق به (CA)

بشكل افتراضي، نحن نثق في جهات التنسيق الإدارية الموجودة في قائمة Mozilla (باستثناء WoSign وStartCom) على https://wiki.mozilla.org/CA:IncludedCAs.

  • يحمل اسم مجال "اسم مشترك" (CN) يحدد عملية نشر Hybrid Data Security

  • ليست شهادة حرف بدل

لا يلزم أن يكون CN قابلاً للوصول إليه أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، hds.company.com.

يجب ألا يحتوي CN على * (حرف بدل).

يتم استخدام CN للتحقق من عُقد Hybrid Data Security لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS الخاص بك نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN.

بمجرد تسجيل عقدة باستخدام هذه الشهادة، لا ندعم تغيير اسم مجال CN.

  • توقيع غير SHA1

لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.

  • تم تنسيقه كملف PKCS #12 محمي بكلمة مرور

  • استخدم الاسم المبسط kms-private-key لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة ليتم تحميلها.

يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك.

سيتعين عليك إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض جهات منح الشهادات تطبيق قيود استخدام المفاتيح الموسعة على كل شهادة، مثل مصادقة الخادم. من المقبول استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يتمتع المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك بالمتطلبات التالية:

  • تم وضع مضيفان منفصلان على الأقل (3 موصى به) في نفس مركز البيانات الآمن

  • VMware ESXi 7.0 (أو إصدار أحدث) مثبت وقيد التشغيل.

    يجب الترقية إذا كان لديك إصدار سابق من ESXi.

  • الحد الأدنى 4 وحدات معالجة مركزية vCPU، والذاكرة الرئيسية 8 جيجابايت، ومساحة القرص الصلب المحلية 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. تقوم تطبيقات HDS، عند تثبيتها، بإنشاء مخطط قاعدة البيانات.

يوجد خياران لخادم قاعدة البيانات. المتطلبات الخاصة بكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بريدSQL

خادم Microsoft SQL

  • PostgreSQL 14 أو 15 أو 16 مثبتة وقيد التشغيل.

  • تم تثبيت SQL Server 2016 أو 2017 أو 2019 أو 2022 (المؤسسة أو Standard).

    يتطلب SQL Server 2016 Service Pack 2 وCumulative Update 2 أو إصدار أحدث.

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

بريدSQL

خادم Microsoft SQL

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت ترغب في أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

  • يجب مزامنة عُقد HDS والبنية التحتية لـ Active Directory وخادم MS SQL مع NTP.

  • يجب أن يكون لدى حساب Windows الذي تقدمه إلى عُقد HDS صلاحية الوصول للقراءة/الكتابة إلى قاعدة البيانات.

  • يجب أن تكون خوادم DNS التي تقدمها إلى عُقد HDS قادرة على حل مركز توزيع المفاتيح (KDC) الخاص بك.

  • يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL Server كاسم أساسي للخدمة (SPN) على Active Directory الخاص بك. ارجع إلى تسجيل الاسم الأساسي للخدمة لاتصالات Kerberos.

    تحتاج أداة إعداد HDS ومطلق HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح. وهم يستخدمون التفاصيل الواردة في تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق

البروتوكول

المنفذ

الاتجاه من التطبيق

الوجهة

عُقد أمان البيانات الهجينة

TCP

443

HTTPS وWSS الصادرة

  • خوادم Webex:

    • * .wbx2.com

    • *.ciscospark.com

  • كل مضيفين Common Identity

  • عناوين URL الأخرى المدرجة في أمان البيانات الهجينة في جدول عناوين URL الإضافية لخدمات Webex الهجينةمتطلبات الشبكة لخدمات Webex

أداة إعداد HDS

TCP

443

HTTPS الصادر

  • * .wbx2.com

  • كل مضيفين Common Identity

  • hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عُقد Hybrid Data Security، يجب ألا تكون أي منافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفين الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة

عناوين URL لمضيف الهوية الشائعة

الأمريكتان

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

الاتحاد الأوروبي

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

كندا

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

سنغافورة

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

الإمارات العربية المتحدة

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

متطلبات الخادم الوكيل

  • نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

    • وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

    • وكيل صريح - الحبار.

      يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للعمل على هذه المشكلة، ارجع إلى تكوين وكلاء Squid لأمن البيانات الهجينة.

  • نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:

    • لا توجد مصادقة باستخدام HTTP أو HTTPS

    • المصادقة الأساسية باستخدام HTTP أو HTTPS

    • تلخيص المصادقة باستخدام HTTPS فقط

  • للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.

  • يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.

  • قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيتم تجاوز (دون فحص) حركة المرور لـ wbx2.com وciscospark.com حل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من أنك جاهز لتثبيت وتهيئة مجموعة Hybrid Data Security.
1

تأكد من تمكين ميزة HDS متعددة المستأجرين في مؤسسة شريكك، واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل لدى الشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex لديك من أجل Pro Pack في Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير حسابك للحصول على المساعدة بشأن هذه العملية.

يجب ألا يكون لدى مؤسسات العملاء أي نشر حالي لـ HDS.

2

اختر اسم مجال لنشر HDS (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.

3

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (3 موصى بها) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.

4

قم بتهيئة خادم قاعدة البيانات الذي سيعمل كمخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب وضع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين.

  1. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، تقوم بإنشاء مخطط قاعدة البيانات.)

  2. اجمع التفاصيل التي ستستخدم العقد للاتصال بخادم قاعدة البيانات:

    • اسم المضيف أو عنوان IP (المضيف) والمنفذ

    • اسم قاعدة البيانات (dbname) لتخزين المفاتيح

    • اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح

5

للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM.

6

قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان الشبكة ومنفذ سجل النظام (الإعداد الافتراضي هو UDP 514).

7

قم بإنشاء سياسة نسخ احتياطي آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات التي لا يمكن استردادها، يجب أن تقوم بنسخ قاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه من أجل عُقد Hybrid Data Security.

نظرًا لأن عُقد Hybrid Data Security تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان لا يمكن إصلاحه لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذلك قد لا يظهر انقطاع الخدمة على الفور ولكن سيصبح واضحًا بمرور الوقت. في حين أنه من المستحيل منع الانقطاع المؤقت، إلا أنه قابل للاسترداد. ومع ذلك، فإن الفقدان الكامل (لا توجد نسخ احتياطية متوفرة) إما لقاعدة البيانات أو ملف ISO للتكوين سيؤدي إلى بيانات العميل غير قابلة للاسترداد. من المتوقع أن يقوم مشغلو Hybrid Data Security بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO الخاص بالتكوين، وأن يكونوا على استعداد لإعادة بناء مركز بيانات Hybrid Data Security في حالة حدوث فشل كارثي.

8

تأكد من أن تكوين جدار الحماية يسمح بإمكانية الاتصال لعقد Hybrid Data Security الخاصة بك كما هو موضح في متطلبات الاتصال الخارجي.

9

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يقوم بتشغيل نظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) باستخدام مستعرض ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

يمكنك استخدام مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. للحصول على مزيد من المعلومات، ارجع إلى متطلبات سطح مكتب Docker .

لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي إمكانية الاتصال الموضحة في متطلبات الاتصال الخارجي.

10

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

قبل البدء

1

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.

2

قم بإنشاء ISO للتكوين لمضيفين HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.

3

تثبيت مضيف HDS OVA

قم بإنشاء جهاز ظاهري من ملف OVA وقم بتنفيذ التكوين المبدئي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

4

إعداد Hybrid Data Security VM

سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تكن قد قمت بتكوينها في وقت نشر OVA.

5

تحميل ISO لتكوين HDS وتثبيته

قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

6

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين الوكيل، فحدد نوع الوكيل الذي ستستخدمه للعُقدة، وأضف شهادة الوكيل إلى المخزن الموثوق به إذا دعت الحاجة لذلك.

7

تسجيل أول عقدة في المجموعة

قم بتسجيل VM باستخدام Cisco Webex Cloud كعقدة Hybrid Data Security.

8

إنشاء وتسجيل المزيد من العُقد

أكمل إعداد مجموعة النظام.

9

تنشيط HDS متعدد المستأجرين على Partner Hub.

قم بتنشيط HDS وإدارة مؤسسات المستأجرين على Partner Hub.

إجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1

سجّل الدخول إلى Partner Hub، ثم انقر على الخدمات.

2

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security، ثم انقر على إعداد.

يعد النقر على إعداد في Partner Hub أمرًا مهمًا لعملية النشر. لا تقم بمتابعة التثبيت دون إكمال هذه الخطوة.

3

انقر على إضافة مورد وانقر على تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج .

لن تتوافق الإصدارات القديمة من حزمة البرامج (OVA) مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى حدوث مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم التعليمات . انقر على الإعدادات > تعليمات > تنزيل برنامج Hybrid Data Security.

يبدأ ملف OVA تلقائيًا في التنزيل. احفظ الملف في موقع على جهازك.
4

بشكل اختياري، انقر على الاطلاع على دليل نشر أمان البيانات الهجينة للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا أم لا.

قم بإنشاء ISO للتكوين لمضيفين HDS

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

قبل البدء
1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، لديك هذه الخيارات:

  • لا— إذا كنت تقوم بإنشاء أول عقدة HDS لديك، فلن يكون لديك ملف ISO ليتم تحميله.
  • نعم— إذا قمت بإنشاء عقد HDS بالفعل، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.
10

تحقق من أن شهادة X.509 الخاصة بك تفي بالمتطلبات الواردة في متطلبات شهادة X.509.

  • إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، وانقر على متابعة.
  • إذا كانت شهادتك موافق، فانقر على متابعة.
  • إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لا من أجل متابعة استخدام سلسلة شهادات HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.
11

أدخل عنوان قاعدة البيانات والحساب لـ HDS للوصول إلى مخزن بيانات المفتاح:

  1. حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

    إذا اخترت Microsoft SQL Server، فستحصل على حقل "نوع المصادقة".

  2. (Microsoft SQL Server فقط) حدد نوع المصادقة لديك:

    • المصادقة الأساسية: تحتاج إلى اسم حساب SQL Server محلي في حقل اسم المستخدم .

    • مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم .

  3. أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

    مثال:
    dbhost.example.org:1433 أو 198.51.100.17:1433

    يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا تعذر على العقد استخدام DNS لحل اسم المضيف.

    إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433

  4. أدخل اسم قاعدة البيانات.

  5. أدخل اسم المستخدم وكلمة المرور الخاصة بمستخدم يتمتع بجميع الامتيازات في قاعدة بيانات تخزين المفاتيح.

12

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عُقد HDS من TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فتحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

يتطلب TLS والتحقق من موقِّع الشهادة

لا يمكن تطبيق هذا الوضع لقواعد بيانات SQL Server.

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

يتطلب TLS والتحقق من توقيع الشهادة واسم المضيف

  • تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال.

  • تتحقق العقد أيضًا من أن اسم المضيف الموجود في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، أو ينقطع الاتصال عن العقدة.

استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقّع الشهادة واسم المضيف، إن أمكن. في حالة فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ والاستمرار في عملية الإعداد. (بسبب الاختلافات في الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختبارها بنجاح.)

13

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

  1. أدخل عنوان URL لخادم سجل النظام.

    إذا لم يكن الخادم قادرًا على حل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

    مثال:
    udp://10.92.43.23:514 يشير إلى تسجيل دخول مضيف Syslogd 10.92.43.23 على منفذ UDP رقم 514.

  2. إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فحدد هل تم تكوين خادم سجل النظام لتشفير SSL؟.

    إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.

  3. من القائمة المنسدلة اختيار إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: اختر ما إذا كان يتم استخدام سطر جديد لـ Graylog وRsyslog TCP

    • بايت فارغة -- \x00

    • سطر جديد -- \n— حدد هذا الخيار لـ Graylog وRsyslog TCP.

  4. انقر على متابعة.

14

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxSize: 10
15

انقر على متابعة في شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتكون كلمات مرور حسابات الخدمة من تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو عندما ترغب في إعادة تعيينها لإلغاء صلاحية ملفات ISO السابقة.

16

انقر على تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

17

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي.

حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

18

لإيقاف أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بنسخ ملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العُقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع النسخ من ملف ISO، فقد أيضا المفتاح الرئيسي. لا يمكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا أبدًا نسخة من هذا المفتاح ولا يمكننا المساعدة إذا فقدته.

تثبيت مضيف HDS OVA

استخدم هذا الإجراء لإنشاء جهاز ظاهري من ملف OVA.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.

2

حدد ملف > نشر قالب OVF.

3

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر على التالي.

4

في صفحة تحديد اسم ومجلد ، أدخل اسم جهاز ظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن توجد فيه نشر عقدة الجهاز الظاهري، ثم انقر على التالي.

5

في صفحة تحديد مورد حساب ، اختر مورد حساب الوجهة، ثم انقر على التالي.

يتم تشغيل التحقق من الصحة. بعد الانتهاء، تظهر تفاصيل القالب.

6

تحقق من تفاصيل القالب ثم انقر على التالي.

7

إذا طُلب منك اختيار تكوين المورد في صفحة التكوين ، فانقر على 4 وحدة المعالجة المركزية ثم انقر على التالي.

8

في صفحة تحديد التخزين ، انقر على التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.

9

في صفحة تحديد الشبكات ، حدد خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.

10

في صفحة تخصيص قالب ، قم بتكوين إعدادات الشبكة التالية:

  • اسم المضيف— أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف كلمة واحدة للعُقدة.

    • لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

    • لضمان التسجيل بنجاح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعُقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.

    • يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا.

  • عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

    يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

  • قناع— أدخل عنوان قناع الشبكة الفرعية في رمز عشري. على سبيل المثال، 255.255.255.0.
  • البوابة— أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
  • خوادم DNS— أدخل قائمة بخوادم DNS مفصولة بفواصل، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
  • خوادم NTP— أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة.

  • قم بنشر كل العقد على نفس الشبكة الفرعية أو VLAN، بحيث يمكن الوصول إلى كل العقد في المجموعة من العملاء في شبكتك لأغراض إدارية.

في حال تفضيل ذلك، يمكنك تخطي تكوين إعداد الشبكة واتباع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة تحكم العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

11

انقر بزر الماوس الأيمن على العقدة VM، ثم اختر التشغيل > التشغيل.

تم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن مستعد لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لبضع دقائق قبل وصول حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والذي لا يمكنك تسجيل الدخول خلاله.

إعداد Hybrid Data Security VM

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security لأول مرة وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1

في عميل VMware vSphere، حدد VM node Hybrid Data Security وحدد علامة التبويب وحدة التحكم .

يتم تشغيل VM وتظهر مطالبة لتسجيل الدخول. إذا لم يتم عرض المطالبة بتسجيل الدخول، فاضغط على Enter.
2

استخدم تسجيل الدخول الافتراضي وكلمة المرور التالية لتسجيل الدخول وتغيير بيانات الاعتماد:

  1. تسجيل الدخول: admin

  2. كلمة المرور: cisco

بما أنك تقوم بتسجيل الدخول إلى VM لأول مرة، يتعين عليك تغيير كلمة مرور المسؤول.

3

إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت OVA مضيف HDS، فتجاهل بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين .

4

إعداد تكوين ثابت باستخدام عنوان IP وقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.

5

(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة لديك.

لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.

6

احفظ تكوين الشبكة وأعد تشغيل VM حتى تسري التغييرات.

تحميل ISO لتكوين HDS وتثبيته

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحتوي على المفتاح الرئيسي، يجب أن يتم عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أنظمة إدارة البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى مخزن البيانات.

1

تحميل ملف ISO من جهاز الكمبيوتر:

  1. في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.

  2. في قائمة الأجهزة من علامة تبويب التكوين، انقر على التخزين.

  3. في قائمة مخزن البيانات، انقر بزر الماوس الأيمن على مخزن بيانات ملفات VM الخاصة بك وانقر على استعراض مخزن البيانات.

  4. انقر على رمز تحميل الملفات، ثم انقر على تحميل ملف.

  5. استعرض الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر على فتح.

  6. انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار مخزن البيانات.

2

تركيب ملف ISO:

  1. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  2. انقر على موافق لقبول تحذير خيارات التحرير المقيدة.

  3. انقر فوق CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO مخزن بيانات، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين فيه.

  4. حدد خيار متصل والاتصال عند التشغيل.

  5. احفظ تغييراتك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات لديك تتطلب، فيمكنك بشكل اختياري إلغاء تثبيت ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

1

أدخل عنوان URL لإعداد عقدة HDS https://[HDS Node IP or FQDN]/setup في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي أعددتها للعقدة، ثم انقر على تسجيل الدخول.

2

انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا:

  • لا يوجد وكيل— الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة.
  • وكيل غير فحص شفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.
  • وكيل الفحص الشفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
  • وكيل صريح— باستخدام وكيل صريح، يمكنك إخبار العميل (عُقد HDS) بخادم الوكيل الذي سيتم استخدامه، ويدعم هذا الخيار العديد من أنواع المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية:

    1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.

    3. بروتوكول الوكيل— اختر http (يعرض جميع الطلبات التي يتم استلامها من العميل ويتحكم فيها) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل.

    4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:

      • بلا— لا يلزم إجراء المزيد من المصادقة.

        متوفر لبروكسيات HTTP أو HTTPS.

      • أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر لبروكسيات HTTP أو HTTPS.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

      • الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر لبروكسيات HTTPS فقط.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.

3

انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل.

تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.

4

انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل.

إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك الاستمرار في الإعداد، وستعمل العقدة في وضع تحليل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا الخطأ، فقم باستكمال هذه الخطوات، ثم ارجع إلى إيقاف تشغيل وضع تحليل DNS الخارجي المحظور.

5

بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.

6

انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا.

تتم إعادة تشغيل العقدة في غضون بضع دقائق.

7

بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء.

يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل أول عقدة في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة بسحابة Webex، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على واحد أو أكثر من العُقد التي تم نشرها لتوفير التكرار.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن بطاقة Hybrid Data Security وانقر على إعداد.

4

في الصفحة التي يتم فتحها، انقر على إضافة مورد.

5

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي ترغب في تعيين عقدة Hybrid Data Security لها.

نوصي بتسمية مجموعة بناءً على موقع عقد المجموعة جغرافيًا. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

6

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في Webex.
7

انقر على الانتقال إلى العقدة.

بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

8

حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9

انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

في صفحة أمن البيانات الهجينة ، يتم عرض مجموعة النظام الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة تبويب الموارد . ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العُقد

لإضافة عقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء وحدات VM إضافية وتركيب نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

قبل البدء

  • بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.

  • تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1

قم بإنشاء جهاز ظاهري جديد من OVA، وكرر الخطوات الواردة في تثبيت HDS Host OVA.

2

قم بإعداد التكوين الأولي على VM الجديد، وكرر الخطوات الواردة في إعداد Hybrid Data Security VM.

3

في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت ISO لتكوين HDS.

4

إذا كنت تقوم بإعداد وكيل للنشر، فكرر الخطوات الواردة في تكوين عقدة HDS لدمج الوكيل حسب الحاجة للعقدة الجديدة.

5

تسجيل العقدة.

  1. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

  2. في قسم الخدمات السحابية، ابحث عن بطاقة أمان البيانات الهجينة وانقر على عرض الكل.

    تظهر صفحة موارد Hybrid Data Security.

  3. ستظهر مجموعة النظام التي تم إنشاؤها حديثًا في صفحة الموارد .

  4. انقر على المجموعة لعرض العقد المعينة للمجموعة.

  5. انقر على إضافة عقدة على الجانب الأيمن من الشاشة.

  6. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على إضافة.

    تفتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسستك للوصول إلى العقدة الخاصة بك.

  7. حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة.

    تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.

  8. انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Partner Hub Hybrid Data Security.

    تظهر الرسالة المنبثقة التي تمت إضافة العقدة أيضًا في أسفل الشاشة في Partner Hub.

    تم تسجيل العقدة الخاصة بك.

إدارة مؤسسات المستأجرين على "أمان البيانات الهجينة متعددة المستأجرين"

تنشيط HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من بدء الاستفادة من HDS لمفاتيح التشفير الداخلية والخدمات الأمنية الأخرى.

قبل البدء

تأكد من إكمال إعداد مجموعة HDS متعددة المستأجرين باستخدام العدد المطلوب من العقد.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

4

انقر على تنشيط HDS على بطاقة حالة HDS .

إضافة مؤسسات مستأجرة في Partner Hub

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة Hybrid Data Security الخاصة بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

انقر على المجموعة التي تريد تعيين العميل لها.

5

انتقل إلى علامة تبويب العملاء المعينين .

6

انقر على إضافة عملاء.

7

حدد العميل الذي تريد إضافته من القائمة المنسدلة.

8

انقر على إضافة، ستتم إضافة العميل إلى مجموعة النظام.

9

كرر الخطوات من 6 إلى 8 لإضافة عملاء متعددين إلى المجموعة الخاصة بك.

10

انقر على تم في الجزء السفلي من الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو مفصل في إنشاء المفاتيح الرئيسية للعملاء (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء المفاتيح الرئيسية للعملاء (CMK) باستخدام أداة إعداد HDS

قبل البدء

قم بتعيين العملاء إلى المجموعة المناسبة كما هو مفصل في إضافة مؤسسات مستأجر في Partner Hub. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد لمؤسسات العملاء المضافة حديثًا.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

تأكد من الاتصال بقاعدة البيانات الخاصة بك لتنفيذ إدارة CMK.
11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إنشاء CMK لجميع المؤسسات أو إنشاء CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإنشاء CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إنشاء ملفات CMK لإنشاء ملفات CMK لجميع المؤسسات المضافة حديثًا.
  • انقر على … بالقرب من حالة انتظار إدارة CMK لمؤسسة معينة في الجدول وانقر على إنشاء CMK لإنشاء CMK لتلك المؤسسة.
12

بمجرد نجاح إنشاء CMK، ستتغير الحالة الموجودة في الجدول من إدارة CMK معلقة إلى إدارة CMK.

13

إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة مؤسسات المستأجر

قبل البدء

بمجرد إزالتها، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسيفقدون كل المساحات الحالية. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب لديك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على عرض الكل.

4

في علامة تبويب الموارد ، انقر على المجموعة التي تريد إزالة مؤسسات العملاء منها.

5

في الصفحة التي يتم فتحها، انقر على العملاء المعينين.

6

من قائمة مؤسسات العملاء التي يتم عرضها، انقر على ... على الجانب الأيمن من مؤسسة العميل التي ترغب في إزالتها وانقر على إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إبطال CMK لمؤسسات العملاء كما هو مفصل في إبطال CMK للمستأجرين الذين تمت إزالتهم من HDS.

إبطال وحدات CMK للمستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

قم بإزالة العملاء من المجموعة المناسبة كما هو مفصل في إزالة مؤسسات المستأجر. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة لمؤسسات العملاء التي تمت إزالتها.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم مستخدم المسؤول في Partner Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

7

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول Partner Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

8

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

9

في صفحة استيراد ISO ، انقر على نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

11

انتقل إلى علامة تبويب إدارة CMK المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة CMK المستأجر.

  • إبطال ملف CMK لجميع المؤسسات أو إبطال ملف CMK - انقر على هذا الزر الموجود على الشعار الموجود أعلى الشاشة لإبطال ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على زر إدارة ملفات CMK على الجانب الأيمن من الشاشة وانقر على إلغاء ملفات CMK لإلغاء ملفات CMK الخاصة بجميع المؤسسات التي تمت إزالتها.
  • انقر على بالقرب من حالة CMK المراد إبطاله لمؤسسة معينة في الجدول، وانقر على إبطال CMK لإبطال CMK لتلك المؤسسة المحددة.
12

بمجرد نجاح إبطال CMK، لن تظهر مؤسسة العميل في الجدول بعد الآن.

13

إذا لم ينجح إبطال CMK، فسيتم عرض خطأ.

اختبار نشر Hybrid Data Security الخاص بك

اختبار نشر Hybrid Data Security الخاص بك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير Hybrid Data Security متعددة المستأجرين.

قبل البدء

  • قم بإعداد نشر Hybrid Data Security متعدد المستأجرين.

  • تأكد من امتلاكك صلاحية الوصول إلى سجل النظام للتحقق من تمرير طلبات المفاتيح إلى عملية نشر Hybrid Data Security متعددة المستأجرين.

1

يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. سجّل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر Hybrid Data Security، فلن يتاح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون بمجرد استبدال النسخ المخزنة مؤقتًا من مفاتيح التشفير.

2

إرسال الرسائل إلى المساحة الجديدة.

3

تحقق من مخرجات سجل النظام للتحقق من أن طلبات المفاتيح تنتقل إلى نشر Hybrid Data Security الخاص بك.

  1. للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_COLLECTION:

    يجب العثور على إدخال مثل ما يلي (المعرفات مختصرة من أجل قابلية القراءة):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. للتحقق من مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية على kms.data.method=retrieve وkms.data.type=KEY:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. للتحقق من مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create وkms.data.type=KEY_COLLECTION:

    يجب عليك العثور على إدخال مثل:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. للتحقق من مستخدم يطلب إنشاء كائن مورد KMS جديد (KRO) عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

    يجب عليك العثور على إدخال مثل: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security متعدد المستأجرين. للحصول على تنبيه أكثر استباقية، سجّل الاشتراك للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود تنبيهات تؤثر على الخدمات أو ترقيات للبرامج.
1

في Partner Hub، حدد الخدمات من القائمة على الجانب الأيسر من الشاشة.

2

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على تحرير الإعدادات.

تظهر صفحة إعدادات Hybrid Data Security.
3

في قسم "إشعارات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولاً بفواصل، واضغط على Enter.

إدارة نشر HDS

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security الخاص بك.

تعيين جدول ترقية المجموعة

يتم تنفيذ ترقيات البرامج لـ Hybrid Data Security تلقائيًا على مستوى المجموعة، مما يضمن تشغيل نفس إصدار البرنامج في جميع العقد دائمًا. يتم تنفيذ الترقيات وفقًا للجدول الزمني لترقية المجموعة. عندما تصبح ترقية برنامج متاحة، لديك خيار ترقية مجموعة النظام يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1

سجل الدخول إلى مركز الشركاء.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم الخدمات السحابية، ابحث عن أمان البيانات الهجينة وانقر على إعداد

4

في صفحة موارد أمن البيانات الهجينة، حدد مجموعة النظام.

5

انقر على علامة التبويب إعدادات المجموعة .

6

في صفحة إعدادات المجموعة، ضمن "جدول الترقية"، حدد الوقت والمنطقة الزمنية لجدول الترقية.

ملاحظات ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتوفر التاليين. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

  • تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

    لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

  • تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

    لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

  • إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

  • إعادة التعيين السلس— تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.

  • إعادة التعيين الصعب— تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق مسؤول الشريك الكاملة.

    إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1.a إلى 1.e في الإجراء التالي. للحصول على مزيد من التفاصيل، ارجع إلى تشغيل أداة إعداد HDS باستخدام سطح المكتب Podman .

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

  1. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

    في البيئات العادية:

    docker rmi ciscocitg/hds-setup:stable

    في بيئات FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

  2. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

    docker login -u hdscustomersro

  3. في موجه كلمة المرور ، أدخل هذه التجزئة:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. قم بتنزيل أحدث صورة مستقرة لبيئتك:

    في البيئات العادية:

    docker pull ciscocitg/hds-setup:stable

    في بيئات FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

  5. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

    • في البيئات العادية بدون وكيل:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام وكيل HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في بيئات FedRAMP بدون وكيل:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

  6. استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

    لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

  7. أدخل بيانات اعتماد تسجيل دخول عميل Partner Hub الخاص بك عند مطالبتك بذلك، ثم انقر على قبول للمتابعة.

  8. قم باستيراد ملف ISO للتكوين الحالي.

  9. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

    لإيقاف أداة الإعداد، اكتب CTRL+C.

  10. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

2

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فقم بإنشاء Hybrid Data Security Node VM جديدة وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على إرشادات تفصيلية، ارجع إلى إنشاء وتسجيل المزيد من العُقد.

  1. قم بتثبيت مضيف HDS OVA.

  2. قم بإعداد HDS VM.

  3. قم بتحميل ملف التكوين المحدث.

  4. تسجيل العقدة الجديدة في Partner Hub.

3

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

  1. قم بإيقاف تشغيل الآلة الافتراضية.

  2. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  3. انقر فوق CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO، واستعرض إلى الموقع الذي قمت فيه بتنزيل ملف ISO للتكوين الجديد.

  4. حدد التوصيل أثناء التشغيل .

  5. احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

4

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.
1

في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.

2

انتقل إلى نظرة عامة (الصفحة الافتراضية).

عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.

3

انتقل إلى صفحة متجر الثقة والوكيل .

4

انقر فوق التحقق من اتصال الوكيل.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة Hybrid Data Security من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وإيقاف تشغيل الجهاز الظاهري.

2

إزالة العقدة:

  1. سجّل الدخول إلى Partner Hub، ثم حدد الخدمات.

  2. في بطاقة Hybrid Data Security، انقر على عرض الكل لعرض صفحة موارد Hybrid Data Security.

  3. حدد مجموعتك لعرض لوحة النظرة العامة الخاصة بها.

  4. انقر على العقدة التي تريد إزالتها.

  5. انقر على إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين

  6. يمكنك أيضًا إلغاء تسجيل العقدة عن طريق النقر على الجانب الأيمن من العقدة وتحديد إزالة هذه العقدة.

3

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر على حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. دون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

تتمثل الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security الخاصة بك في إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. لكل مستخدم داخل المؤسسة تم تعيينه لـ Hybrid Data Security، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى مجموعة النظام. وتتحمل المجموعة أيضًا مسؤولية إرجاع المفاتيح التي أنشأتها إلى أي مستخدمين مصرح باستعادتها، على سبيل المثال، أعضاء مساحة محادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحرجة المتمثلة في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل والحفاظ على النسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو تكوين ISO المستخدم للمخطط إلى فقدان محتوى العميل لا يمكن استرداده. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت الكارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

قم بإلغاء تسجيل جميع العقد من Partner Hub كما هو مذكور في إزالة عقدة. استخدم أحدث ملف ISO تم تكوينه مقابل عقد المجموعة النشطة من قبل، لتنفيذ إجراء تجاوز الفشل المذكور أدناه.
1

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS.

2

أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.

3

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

4

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

5

انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO.

تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.

6

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.

7

تسجيل العقدة في Partner Hub. ارجع إلى تسجيل أول عقدة في المجموعة.

8

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بإلغاء تسجيل عقد مركز البيانات الاحتياطي وكرر عملية تكوين ISO وتسجيل عقد مركز البيانات الأساسي كما هو مذكور أعلاه.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يعمل تكوين HDS القياسي مع تثبيت ISO. ولكن، يفضل بعض العملاء عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط جميع عُقد HDS التكوين الجديد.

ما زلت تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن يتم التقاط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية كل عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1

أغلق إحدى عُقد HDS الخاصة بك.

2

في جهاز خادم vCenter، حدد عقدة HDS.

3

اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف ISO لتخزين البيانات.

4

قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 20 دقيقة على الأقل.

5

التكرار لكل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يتم اعتبار نشر Hybrid Data Security غير متاح إذا تعذر الوصول إلى كل العقد في المجموعة، أو كانت المجموعة تعمل ببطء شديد ويتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسيتعرضون للأعراض التالية:

  • لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)

  • فشل فك تشفير الرسائل وعناوين المساحات من أجل:

    • تم إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)

    • المستخدمون الموجودون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)

  • سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح ما دام العملاء لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تقوم بمراقبة مجموعة Hybrid Data Security الخاصة بك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد Hybrid Data Security، فسيعرض Partner Hub التنبيهات إلى مسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشاكل الشائعة وخطوات حلها

تنبيه

الإجراء

فشل الوصول إلى قاعدة البيانات المحلية.

التحقق من وجود أخطاء في قاعدة البيانات أو مشاكل في الشبكة المحلية.

فشل في اتصال قاعدة البيانات المحلية.

تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.

فشل الوصول إلى الخدمة السحابية.

تحقق من إمكانية وصول العقد إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.

تجديد تسجيل خدمة السحابة.

تم إسقاط التسجيل في خدمات السحابة. تجديد التسجيل قيد التقدم.

تم إسقاط تسجيل الخدمة السحابية.

تم إنهاء التسجيل في خدمات السحابة. تم إيقاف تشغيل الخدمة.

لم يتم تنشيط الخدمة بعد.

تنشيط HDS في Partner Hub.

لا يتطابق المجال الذي تم تكوينه مع شهادة الخادم.

تأكد من أن شهادة الخادم لديك تطابق مجال تنشيط الخدمة الذي تم تكوينه.

السبب الأكثر احتمالاً هو أن CN الخاص بالشهادة تم تغييرها مؤخرًا وهي الآن مختلفة عن CN الذي تم استخدامه أثناء الإعداد الأولي.

فشلت المصادقة لخدمات السحابة.

تحقق من دقة بيانات اعتماد حساب الخدمة واحتمال انتهاء صلاحيتها.

فشل فتح ملف مخزن المفاتيح المحلي.

تحقق من السلامة وكلمة المرور في ملف متجر المفاتيح المحلي.

شهادة الخادم المحلي غير صالحة.

تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أنه تم إصدارها من قبل مرجع شهادة موثوق فيه.

يتعذر نشر القياسات.

تحقق من وصول الشبكة المحلية إلى خدمات السحابة الخارجية.

دليل /media/configdrive/hds غير موجود.

تحقق من تكوين تثبيت ISO على المضيف الظاهري. تحقق من وجود ملف ISO ومن تكوينه للتثبيت عند إعادة التمهيد ومن أنه تم تثبيته بنجاح.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تمت إضافتها

أكمل الإعداد عن طريق إنشاء وحدات CMK لمؤسسات المستأجرين المضافة حديثًا باستخدام أداة إعداد HDS.

لم يكتمل إعداد مؤسسة المستأجر للمؤسسات التي تم إزالتها

أكمل الإعداد عن طريق إلغاء CMK لمؤسسات المستأجر التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.
1

راجع Partner Hub للاطلاع على أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للرجوع إليها.

2

راجع إخراج خادم سجل النظام للنشاط الناتج عن نشر Hybrid Data Security. قم بالتصفية لكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.

3

تواصل مع دعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

  • إذا قمت بإغلاق مجموعة Hybrid Data Security (عن طريق حذفها في Partner Hub أو بإغلاق كل العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت صلاحية الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يستطيع مستخدمو تطبيق Webex في مؤسسات العملاء استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام المفاتيح من KMS الخاص بك. ليس لدينا حاليًا حل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف خدمات HDS الخاصة بك بمجرد معالجة حسابات المستخدمين النشطين.

  • يحتفظ العميل الذي لديه اتصال حالي بـ ECDH بـ KMS بهذا الاتصال لفترة من الوقت (ربما ساعة واحدة).

تشغيل أداة إعداد HDS باستخدام Podman لسطح المكتب

Podman هي أداة إدارة حاويات مجانية ومفتوحة المصدر توفر طريقة لتشغيل الحاويات وإدارتها وإنشائها. يمكن تنزيل سطح مكتب Podman من https://podman-desktop.io/downloads.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه، قم بتنزيل وتشغيل Podman على ذلك الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • التغييرات على سياسة التخويل

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

podman rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

podman login docker.io -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

podman pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

التصرف التالي

اتبع الخطوات المتبقية في إنشاء ISO لتكوين مضيفين HDS أو تغيير تكوين العقدة لإنشاء أو تغيير تكوين ISO.

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

  • OpenSSL هي أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع واحدة على الأخرى.

  • إذا اخترت استخدام OpenSSL، فإننا نوفر هذا الإجراء كدليل لمساعدتك على إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. يجب فهم تلك المتطلبات قبل المتابعة.

  • قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرامج والوثائق.

  • قم بإنشاء مفتاح خاص.

  • ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة إصدار الشهادة (CA) لديك.

1

عند استلام شهادة الخادم من المرجع المصدق الخاص بك، احفظ الشهادة كـ hdsnode.pem.

2

اعرض الشهادة كنص، وتحقق من التفاصيل.

openssl x509 -text -noout -in hdsnode.pem

3

استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى hdsnode-bundle.pem. يجب أن يتضمن الملف المجمع شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر، بالتنسيق التالي:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

قم بإنشاء ملف .p12 بالاسم الصديق kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

تحقق من تفاصيل شهادة الخادم.

  1. openssl pkcs12 -in hdsnode.p12

  2. أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. بعد ذلك، تحقق من أن المفتاح الخاص والشهادة الأولى تتضمن الخطوط friendlyName: kms-private-key.

    مثال:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

التصرف التالي

ارجع إلى إكمال المتطلبات الأساسية لأمن البيانات الهجينة. ستقوم باستخدام hdsnode.p12 الملف وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO لتكوين لمضيفين HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عُقد Hybrid Data Security قياسات معينة إلى سحابة Webex. وتشمل هذه قياسات النظام للحد الأقصى لكومة البيانات، وحمل وحدة المعالجة المركزية، وعدد المواضيع؛ والقياسات المتعلقة بالمواضيع المتزامنة وغير المتزامنة؛ والقياسات المتعلقة بالتنبيهات التي تنطوي على حد اتصالات التشفير أو زمن الانتقال أو طول قائمة انتظار الطلب؛ والقياسات المتعلقة بمخزن البيانات؛ وقياسات اتصال التشفير. ترسل العقد مواد مفتاح مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

  • طلبات التشفير من العملاء، الذين يتم توجيههم من خلال خدمة التشفير

  • ترقيات إلى برنامج العقدة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور من أجل التشغيل الصحيح للخدمات.

الحبار 4 و 5

أضف on_unsupported_protocol التوجيه إلى squid.conf:

on_unsupported_protocol tunnel all

الحبار 3.5.27

لقد اختبرنا أمان البيانات الهجينة بنجاح مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

معلومات جديدة ومتغيرة

معلومات جديدة ومتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات في المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمان البيانات الهجينة متعددة المستأجرين.

التاريخ

التغييرات التي تم إجراؤها

8 مايو 2025
4 مارس 2025

30 يناير 2025

تمت إضافة إصدار SQL Server 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.

15 يناير 2025

تمت إضافة حدود أمان البيانات الهجينة متعددة المستأجرين.

8 يناير 2025

تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر فوق إعداد على بطاقة HDS في Partner Hub يعد خطوة مهمة في عملية التثبيت.

7 يناير 2025

تم تحديث متطلبات المضيف الافتراضي، و تدفق مهام نشر أمان البيانات الهجين، و تثبيت HDS Host OVA لإظهار المتطلبات الجديدة لـ ESXi 7.0.

13 ديسمبر 2024

نُشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعددة المستأجرين

سير عمل إلغاء تنشيط HDS متعدد المستأجرين

اتبع الخطوات التالية لإلغاء تنشيط HDS متعدد المستأجرين تمامًا.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة بواسطة مسؤول الشريك الكامل فقط.
1

قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة منظمات المستأجرين.

2

إلغاء مفاتيح إدارة العملاء (CMKs) لجميع العملاء، كما هو مذكور في إلغاء مفاتيح إدارة العملاء (CMKs) للمستأجرين الذين تمت إزالتهم من HDS..

3

قم بإزالة جميع العقد من جميع مجموعاتك، كما هو مذكور في إزالة عقدة.

4

احذف جميع مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين.

  • انقر فوق المجموعة التي تريد حذفها، ثم حدد حذف هذه المجموعة في الزاوية اليمنى العليا من صفحة النظرة العامة.
  • في صفحة الموارد، انقر فوق ... على الجانب الأيمن من المجموعة وحدد إزالة المجموعة.
5

انقر فوق علامة التبويب الإعدادات في صفحة نظرة عامة على أمان البيانات الهجينة وانقر فوق إلغاء تنشيط HDS في بطاقة حالة HDS.

ابدأ باستخدام أمان البيانات الهجين متعدد المستأجرين

نظرة عامة على أمان البيانات الهجينة متعددة المستأجرين

منذ اليوم الأول، كان أمان البيانات هو المحور الأساسي في تصميم تطبيق Webex. حجر الأساس لهذا الأمان هو تشفير المحتوى من البداية إلى النهاية، والذي يتم تمكينه من خلال عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام مفاتيح ديناميكية مخزنة في KMS السحابي، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يتيح أمان البيانات الهجين متعدد المستأجرين للمؤسسات الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه العمل كمزود خدمة وإدارة التشفير المحلي وخدمات الأمان الأخرى. يتيح هذا الإعداد للمنظمة الشريكة التحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أن بيانات المستخدم الخاصة بمنظمات العملاء آمنة من الوصول الخارجي. تقوم المنظمات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن لكل مثيل دعم مؤسسات عملاء متعددة على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

على الرغم من أن المنظمات الشريكة تتمتع بالسيطرة على النشر والإدارة، إلا أنها لا تتمتع بالوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر هذا الوصول على مؤسسات العملاء ومستخدميها.

يسمح هذا أيضًا للمؤسسات الأصغر حجمًا بالاستفادة من HDS، نظرًا لأن خدمة إدارة المفاتيح والبنية الأساسية للأمان مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجين متعدد المستأجرين سيادة البيانات والتحكم فيها

  • يتم حماية المحتوى الذي ينشئه المستخدم من الوصول الخارجي، مثل مقدمي الخدمات السحابية.
  • يتولى الشركاء المحليون الموثوق بهم إدارة مفاتيح التشفير الخاصة بالعملاء الذين تربطهم بهم بالفعل علاقة ثابتة.
  • خيار الحصول على الدعم الفني المحلي، إذا تم توفيره من قبل الشريك.
  • يدعم محتوى الاجتماعات والمراسلة والمكالمات.

تهدف هذه الوثيقة إلى مساعدة المنظمات الشريكة في إعداد وإدارة العملاء في ظل نظام أمان البيانات الهجين متعدد المستأجرين.

حدود أمان البيانات الهجينة متعددة المستأجرين

  • يجب ألا يكون لدى المنظمات الشريكة أي نشر HDS نشط في Control Hub.
  • يجب ألا يكون لدى منظمات المستأجرين أو العملاء التي ترغب في إدارتها بواسطة شريك أي نشر HDS موجود في Control Hub.
  • بمجرد نشر Multi-Tenant HDS بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء بالإضافة إلى مستخدمي مؤسسة الشريك في الاستفادة من Multi-Tenant HDS لخدمات التشفير الخاصة بهم.

    ستكون المنظمة الشريكة والمنظمات العميلة التي تديرها على نفس نشر HDS متعدد المستأجرين.

    لن تستخدم المنظمة الشريكة نظام KMS السحابي بعد نشر نظام HDS متعدد المستأجرين.

  • لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
  • حاليًا، يمكن لكل نشر HDS متعدد المستأجرين أن يحتوي على مجموعة واحدة فقط، مع وجود عقد متعددة تحتها.
  • تخضع أدوار المسؤول لبعض القيود؛ راجع القسم أدناه للحصول على التفاصيل.

الأدوار في أمن البيانات الهجينة متعددة المستأجرين

  • مسؤول الشريك الكامل - يمكنه إدارة الإعدادات لجميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
  • مسؤول الشريك - يمكنه إدارة الإعدادات للعملاء الذين قام المسؤول بتوفيرها أو الذين تم تعيينهم للمستخدم.
  • المسؤول الكامل - مسؤول المنظمة الشريكة الذي يتمتع بالصلاحية لتنفيذ مهام مثل تعديل إعدادات المنظمة وإدارة التراخيص وتعيين الأدوار.
  • إعداد وإدارة نظام HDS متعدد المستأجرين من البداية إلى النهاية لجميع مؤسسات العملاء - مطلوب مسؤول كامل للشريك وحقوق مسؤول كاملة.
  • إدارة منظمات المستأجرين المعينة - مطلوب مسؤول الشريك وحقوق المسؤول الكاملة.

هندسة مجال الأمن

تقوم بنية سحابة Webex بفصل أنواع مختلفة من الخدمات إلى مجالات منفصلة، أو مجالات ثقة، كما هو موضح أدناه.

عوالم الفصل (بدون أمان البيانات الهجين)

لفهم أمان البيانات الهجينة بشكل أفضل، دعونا أولاً نلقي نظرة على حالة السحابة البحتة هذه، حيث توفر شركة Cisco جميع الوظائف في مجالات السحابة الخاصة بها. إن خدمة الهوية، وهي المكان الوحيد الذي يمكن فيه ربط المستخدمين بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، منفصلة منطقيًا وماديًا عن مجال الأمان في مركز البيانات B. وكلاهما منفصلان بدورهما عن المجال الذي يتم فيه تخزين المحتوى المشفر في النهاية، في مركز البيانات C.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول الخاص بالمستخدم، وقد تم مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بإنشاء رسالة لإرسالها إلى مساحة ما، تتم الخطوات التالية:

  1. يقوم العميل بإنشاء اتصال آمن مع خدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم KMS بتشفير المفتاح باستخدام مفتاح رئيسي AES-256.

  2. يتم تشفير الرسالة قبل خروجها من العميل. يقوم العميل بإرسالها إلى خدمة الفهرسة، والتي تقوم بإنشاء فهارس بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.

  3. يتم إرسال الرسالة المشفرة إلى خدمة الامتثال للتحقق من الامتثال.

  4. يتم تخزين الرسالة المشفرة في منطقة التخزين.

عند نشر Hybrid Data Security، يمكنك نقل وظائف مجال الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات المحلي لديك. وتظل الخدمات السحابية الأخرى التي تشكل Webex (بما في ذلك تخزين الهوية والمحتوى) ضمن نطاق Cisco.

التعاون مع المنظمات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في مؤسسات أخرى. عندما يطلب أحد المستخدمين مفتاحًا لمساحة مملوكة لمؤسستك (لأنها تم إنشاؤها بواسطة أحد المستخدمين)، يرسل نظام إدارة المفاتيح (KMS) المفتاح إلى العميل عبر قناة مؤمنة بواسطة ECDH. ومع ذلك، عندما تمتلك منظمة أخرى المفتاح للمساحة، يقوم نظام إدارة المفاتيح الخاص بك بتوجيه الطلب إلى سحابة Webex من خلال قناة ECDH منفصلة للحصول على المفتاح من نظام إدارة المفاتيح المناسب، ثم يقوم بإرجاع المفتاح إلى المستخدم على القناة الأصلية.

تقوم خدمة KMS التي تعمل على المؤسسة A بالتحقق من صحة الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. راجع تحضير البيئة الخاصة بك للحصول على تفاصيل حول إنشاء شهادة x.509 لاستخدامها مع نشر أمان البيانات الهجين متعدد المستأجرين.

توقعات بشأن نشر أمن البيانات الهجين

يتطلب نشر أمان البيانات الهجين التزامًا كبيرًا ووعيًا بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجين، يجب عليك توفير:

  • مركز بيانات آمن في بلد يعد موقعًا مدعومًا لخطط Cisco Webex Teams.

  • المعدات والبرمجيات والوصول إلى الشبكة الموضحة في تحضير البيئة الخاصة بك.

سيؤدي الفقدان الكامل لملف ISO للتكوين الذي تقوم بإنشائه لأمان البيانات الهجين أو قاعدة البيانات التي تقدمها إلى فقدان المفاتيح. يؤدي فقدان المفتاح إلى منع المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث هذا، فيمكنك إنشاء نشر جديد، ولكن المحتوى الجديد فقط سيكون مرئيًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

  • إدارة النسخ الاحتياطي واسترداد قاعدة البيانات وتكوين ISO.

  • كن مستعدًا لإجراء استرداد سريع للكوارث في حالة حدوث كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية الإعداد رفيع المستوى

تغطي هذه الوثيقة إعداد وإدارة نشر أمان البيانات الهجين متعدد المستأجرين:

  • إعداد أمان البيانات الهجين—يتضمن ذلك إعداد البنية الأساسية المطلوبة وتثبيت برنامج أمان البيانات الهجين، وبناء مجموعة HDS، وإضافة منظمات المستأجرين إلى المجموعة وإدارة مفاتيح العملاء الرئيسية (CMKs) الخاصة بهم. سيسمح هذا لجميع مستخدمي مؤسسات عملائك باستخدام مجموعة أمان البيانات الهجينة الخاصة بك لوظائف الأمان.

    سيتم تناول مراحل الإعداد والتنشيط والإدارة بالتفصيل في الفصول الثلاثة التالية.

  • حافظ على نشر أمان البيانات الهجين الخاص بك—توفر سحابة Webex ترقيات مستمرة تلقائيًا. يمكن لقسم تكنولوجيا المعلومات الخاص بك توفير الدعم من المستوى الأول لهذا النشر، والاستفادة من دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد تنبيهات عبر البريد الإلكتروني في Partner Hub.

  • فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشكلات المعروفة—إذا واجهت مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وملحق المشكلات المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر أمن البيانات الهجين

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العقد على مضيفين افتراضيين منفصلين. تتواصل العقد مع سحابة Webex من خلال منافذ الويب الآمنة وبروتوكول HTTP الآمن.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على الأجهزة الظاهرية التي تقدمها. تستخدم أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة يمكنك تثبيته على كل عقدة. تستخدم مجموعة أمان البيانات الهجينة خادم Syslogd المقدم لك وقاعدة بيانات PostgreSQL أو Microsoft SQL Server. (يمكنك تكوين تفاصيل اتصال Syslogd وقاعدة البيانات في أداة إعداد HDS.)

نموذج نشر أمن البيانات الهجين

الحد الأدنى لعدد العقد التي يمكنك الحصول عليها في مجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عقد متعددة عدم انقطاع الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على عقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تتمكن جميع العقد الموجودة في المجموعة من الوصول إلى نفس مخزن البيانات الرئيسي، وتسجيل النشاط على نفس خادم syslog. العقد نفسها لا تحمل جنسية، وتتعامل مع طلبات المفاتيح بطريقة دائرية، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عند تسجيلها في مركز الشركاء. لإخراج عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا لزم الأمر.

مركز بيانات احتياطي للتعافي من الكوارث

أثناء النشر، يمكنك إعداد مركز بيانات احتياطي آمن. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في نشر البيانات ونقلها إلى مركز البيانات الاحتياطي.

قبل الفشل، يحتوي مركز البيانات A على عقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، بينما يحتوي B على نسخة من ملف ISO مع تكوينات إضافية، وأجهزة افتراضية مسجلة لدى المنظمة، وقاعدة بيانات احتياطية. بعد الفشل، يحتوي مركز البيانات B على عقد HDS نشطة وقاعدة البيانات الأساسية، بينما يحتوي A على أجهزة افتراضية غير مسجلة ونسخة من ملف ISO، وتكون قاعدة البيانات في وضع الاستعداد.
التحويل اليدوي إلى مركز بيانات احتياطي

تتم مزامنة قواعد بيانات مراكز البيانات النشطة والاحتياطية مع بعضها البعض مما يقلل من الوقت المستغرق لإجراء عملية الفشل.

يجب أن تكون عقد أمان البيانات الهجينة النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

  • لا يوجد وكيل— الإعداد الافتراضي إذا كنت لا تستخدم إعداد عقدة HDS Trust Store & تكوين الوكيل لدمج الوكيل. لا يلزم تحديث الشهادة.

  • وكيل شفاف غير فاحص—العقد غير مهيأة لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة.

  • نفق شفاف أو وكيل تفتيش— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).

  • الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار عقد HDS بخادم الوكيل ونظام المصادقة الذي يجب استخدامه. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:

    1. وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها.

    3. بروتوكول الوكيل—اعتمادًا على ما يدعمه خادم الوكيل الخاص بك، اختر بين البروتوكولات التالية:

      • HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.

      • HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.

    4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:

      • لا شيء—لا يلزم إجراء أي مصادقة إضافية.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

      • أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

      • ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.

        يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمن البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجين متعدد المستأجرين:

  • المنظمات الشريكة: اتصل بشريك Cisco أو مدير الحساب الخاص بك وتأكد من تمكين ميزة تعدد المستأجرين.

  • المنظمات المستأجرة: يجب أن يكون لديك Pro Pack لـ Cisco Webex Control Hub. (يرى https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عقد HDS، ستحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قامت Docker مؤخرًا بتحديث نموذج الترخيص الخاص بها. قد تتطلب مؤسستك اشتراكًا مدفوعًا لـ Docker Desktop. للحصول على التفاصيل، راجع منشور مدونة Docker، " Docker يقوم بتحديث وتوسيع اشتراكات منتجاتنا".

يمكن للعملاء الذين لا يملكون ترخيص Docker Desktop استخدام أداة إدارة حاويات مفتوحة المصدر مثل Podman Desktop لتشغيل الحاويات وإدارتها وإنشائها. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادة بالمتطلبات التالية:

الجدول 1. متطلبات شهادة X.509 لنشر أمان البيانات الهجينة

المتطلبات

التفاصيل

  • تم التوقيع عليه من قبل هيئة إصدار الشهادات الموثوقة (CA)

بشكل افتراضي، نثق في السلطات المصدقة في قائمة Mozilla (باستثناء WoSign وStartCom) في https://wiki.mozilla.org/CA:IncludedCAs.

  • يحمل اسم نطاق الاسم الشائع (CN) الذي يحدد نشر أمان البيانات الهجين الخاص بك

  • ليست شهادة عامة

لا يلزم أن تكون الشبكة المحلية قابلة للوصول أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، hds.company.com.

يجب ألا يحتوي CN على * (بطاقة عامة).

يتم استخدام CN للتحقق من عقد أمان البيانات الهجينة لعملاء تطبيق Webex. تستخدم كافة عقد أمان البيانات الهجينة في مجموعتك نفس الشهادة. يقوم نظام KMS الخاص بك بتحديد نفسه باستخدام نطاق CN، وليس أي نطاق تم تعريفه في حقول SAN x.509v3.

بمجرد تسجيل عقدة باستخدام هذه الشهادة، لن ندعم تغيير اسم نطاق CN.

  • توقيع غير SHA1

لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.

  • تم تنسيقه كـ PKCS محمي بكلمة مرور #12 ملف

  • استخدم الاسم الودود kms-private-key لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة للتحميل.

بإمكانك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك.

سوف تحتاج إلى إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض سلطات الشهادات تطبيق قيود استخدام المفتاح الموسعة على كل شهادة، مثل مصادقة الخادم. لا بأس من استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الافتراضي

تحتوي المضيفات الافتراضية التي ستقوم بإعدادها كعقد أمان بيانات هجينة في مجموعتك على المتطلبات التالية:

  • على الأقل مضيفين منفصلين (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن

  • تم تثبيت VMware ESXi 7.0 أو 8.0 وتشغيله.

    يجب عليك الترقية إذا كان لديك إصدار سابق من ESXi.

  • الحد الأدنى 4 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 8 جيجابايت، ومساحة قرص ثابت محلي 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.

هناك خياران لخادم قاعدة البيانات. المتطلبات لكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بوستجريس كيو إل

مايكروسوفت إس كيو إل سيرفر

  • تم تثبيت PostgreSQL 14 أو 15 أو 16 وتشغيله.

  • تم تثبيت SQL Server 2016، أو 2017، أو 2019، أو 2022 (Enterprise أو Standard).

    يتطلب SQL Server 2016 Service Pack 2 والتحديث التراكمي 2 أو الإصدار الأحدث.

الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 16 جيجابايت، ومساحة كافية على القرص الصلب والمراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 16 جيجابايت، ومساحة كافية على القرص الصلب والمراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للتواصل مع خادم قاعدة البيانات:

بوستجريس كيو إل

مايكروسوفت إس كيو إل سيرفر

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances و Always On availability groups).

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

إذا كنت تريد أن تستخدم عقد HDS مصادقة Windows للحصول على حق الوصول إلى قاعدة بيانات مخزن المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

  • يجب مزامنة عقد HDS والبنية الأساسية لـ Active Directory وMS SQL Server مع NTP.

  • يجب أن يحتوي حساب Windows الذي تقدمه لعقد HDS على read/write الوصول إلى قاعدة البيانات.

  • يجب أن تكون خوادم DNS التي تقدمها لعقد HDS قادرة على حل مركز توزيع المفتاح (KDC) الخاص بك.

  • يمكنك تسجيل مثيل قاعدة بيانات HDS على Microsoft SQL Server الخاص بك باعتباره اسم الخدمة الرئيسي (SPN) على Active Directory الخاص بك. راجع تسجيل اسم رئيسي للخدمة لاتصالات Kerberos.

    تحتاج أداة إعداد HDS ومشغل HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات مخزن المفاتيح. إنهم يستخدمون التفاصيل من تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجية

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصالات التالية لتطبيقات HDS:

التطبيق

البروتوكول

المنفذ

الاتجاه من التطبيق

الوجهة

عقد أمان البيانات الهجينة

TCP

443

HTTPS و WSS الصادر

  • خوادم Webex:

    • * .wbx2.com

    • *.ciscospark.com

  • جميع مضيفات الهوية المشتركة

  • عناوين URL الأخرى المدرجة لأمان البيانات الهجين في جدول عناوين URL الإضافية لخدمات Webex الهجينة ضمن متطلبات الشبكة لخدمات Webex

أداة إعداد HDS

TCP

443

HTTPS الصادر

  • * .wbx2.com

  • جميع مضيفات الهوية المشتركة

  • hub.docker.com

تعمل عقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار الحماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة إلى وجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عقد أمان البيانات الهجينة، لا ينبغي أن تكون المنافذ مرئية من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عقد أمان البيانات الهجين على منافذ TCP 443 و22، لأغراض إدارية.

عناوين URL لمضيفي الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة

عناوين URL لمضيف الهوية المشتركة

الأمريكتان

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

الاتحاد الأوروبي

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

كندا

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

سنغافورة

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

الإمارات العربية المتحدة

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

متطلبات الخادم الوكيل

  • نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

    • وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

    • وكيل صريح - الحبار.

      يمكن أن تتداخل وكلاء Squid الذين يقومون بفحص حركة مرور HTTPS مع إنشاء websocket (wss:) الاتصالات. للتغلب على هذه المشكلة، راجع تكوين وكلاء Squid لأمان البيانات الهجينة.

  • نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:

    • لا توجد مصادقة باستخدام HTTP أو HTTPS

    • المصادقة الأساسية باستخدام HTTP أو HTTPS

    • تلخيص المصادقة باستخدام HTTPS فقط

  • للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.

  • يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.

  • قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. إذا حدثت هذه المشكلة، فإن تجاوز (وليس فحص) حركة المرور إلى wbx2.com و ciscospark.com سوف يحل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة التحقق هذه للتأكد من استعدادك لتثبيت وتكوين مجموعة أمان البيانات الهجينة الخاصة بك.
1

تأكد من تمكين ميزة HDS متعددة المستأجرين لدى مؤسستك الشريكة واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل للشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex الخاصة بك لـ Pro Pack لـ Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير الحساب الخاص بك للحصول على المساعدة في هذه العملية.

لا ينبغي لمنظمات العملاء أن يكون لديها أي نشر HDS موجود.

2

اختر اسم نطاق لنشر HDS الخاص بك (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادة بالمتطلبات الواردة في متطلبات شهادة X.509.

3

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعقد أمان بيانات هجينة في مجموعتك. تحتاج إلى مضيفين منفصلين على الأقل (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن، والذين يستوفون المتطلبات المذكورة في متطلبات المضيف الافتراضي.

4

قم بإعداد خادم قاعدة البيانات الذي سيعمل كمخزن بيانات رئيسي للمجموعة، وفقًا لمتطلبات خادم قاعدة البيانات. يجب أن يكون خادم قاعدة البيانات موجودًا في مركز البيانات الآمن مع المضيفين الافتراضيين.

  1. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.)

  2. جمع التفاصيل التي ستستخدمها العقد للتواصل مع خادم قاعدة البيانات:

    • اسم المضيف أو عنوان IP (المضيف) والمنفذ

    • اسم قاعدة البيانات (dbname) لتخزين المفتاح

    • اسم المستخدم وكلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح

5

للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة الإنتاج الخاصة بالأجهزة الافتراضية وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية.

6

قم بإعداد مضيف syslog لجمع السجلات من العقد الموجودة في المجموعة. قم بتجميع عنوان الشبكة ومنفذ syslog (الافتراضي هو UDP 514).

7

إنشاء سياسة نسخ احتياطي آمنة لعقد أمان البيانات الهجينة وخادم قاعدة البيانات ومضيف syslog. على الأقل، لمنع فقدان البيانات غير القابلة للاسترداد، يجب عليك عمل نسخة احتياطية لقاعدة البيانات وملف ISO الخاص بالتكوين الذي تم إنشاؤه لعقد Hybrid Data Security.

نظرًا لأن عقد أمان البيانات الهجين تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى خسارة غير قابلة للاسترداد لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذا قد لا يكون الانقطاع ملحوظًا على الفور ولكنه سيصبح واضحًا بمرور الوقت. على الرغم من أنه من المستحيل منع الانقطاعات المؤقتة، إلا أنه يمكن إصلاحها. ومع ذلك، فإن الخسارة الكاملة (عدم توفر نسخ احتياطية) لقاعدة البيانات أو ملف ISO للتكوين سوف تؤدي إلى عدم إمكانية استرداد بيانات العملاء. ومن المتوقع أن يقوم مشغلو عقد أمان البيانات الهجين بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO للتكوين، وأن يكونوا مستعدين لإعادة بناء مركز بيانات أمان البيانات الهجين في حالة حدوث فشل كارثي.

8

تأكد من أن تكوين جدار الحماية الخاص بك يسمح بالاتصال بعقد أمان البيانات الهجينة كما هو موضح في متطلبات الاتصال الخارجية.

9

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يعمل بنظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت، أو Mac OSX Yosemite 10.10.3 أو أعلى) مع متصفح ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

تستخدم مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، والتي تقوم ببناء معلومات التكوين المحلية لجميع عقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. راجع متطلبات سطح مكتب Docker للحصول على مزيد من المعلومات.

لتثبيت أداة إعداد HDS وتشغيلها، يجب أن يتمتع الجهاز المحلي بالاتصال الموضح في متطلبات الاتصال الخارجية.

10

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يلبي متطلبات Proxy Server.

إعداد مجموعة أمان البيانات الهجينة

سير عمل نشر أمان البيانات الهجينة

قبل البدء

1

قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت

قم بتنزيل ملف OVA على جهازك المحلي لاستخدامه لاحقًا.

2

إنشاء ملف ISO للتكوين لمضيفات HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد أمان البيانات الهجين.

3

تثبيت HDS Host OVA

قم بإنشاء جهاز افتراضي من ملف OVA وقم بإجراء التكوين الأولي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

4

إعداد جهاز VM للأمان الهجين للبيانات

قم بتسجيل الدخول إلى وحدة التحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

5

تحميل وتثبيت ISO لتكوين HDS

قم بتكوين الجهاز الافتراضي من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

6

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين وكيل، فحدد نوع الوكيل الذي ستستخدمه للعقدة، وأضف شهادة الوكيل إلى مخزن الثقة إذا لزم الأمر.

7

تسجيل العقدة الأولى في المجموعة

قم بتسجيل الجهاز الافتراضي مع سحابة Cisco Webex كعقدة أمان بيانات هجينة.

8

إنشاء وتسجيل المزيد من العقد

أكمل إعداد المجموعة.

9

قم بتنشيط HDS متعدد المستأجرين على Partner Hub.

قم بتنشيط HDS وإدارة منظمات المستأجرين على Partner Hub.

قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعقد أمان بيانات هجينة). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1

قم بتسجيل الدخول إلى مركز الشركاء، ثم انقر فوق الخدمات.

2

في قسم خدمات السحابة، ابحث عن بطاقة أمان البيانات الهجينة، ثم انقر فوق إعداد.

يعد النقر على إعداد في مركز الشركاء أمرًا بالغ الأهمية لعملية النشر. لا تقم بالاستمرار في التثبيت دون إكمال هذه الخطوة.

3

انقر فوق إضافة مورد وانقر فوق تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج.

لن تكون الإصدارات الأقدم من حزمة البرامج (OVA) متوافقة مع أحدث ترقيات أمان البيانات الهجينة. قد يؤدي هذا إلى حدوث مشكلات أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم المساعدة. انقر فوق الإعدادات > يساعد > تنزيل برنامج Hybrid Data Security.

يبدأ تنزيل ملف OVA تلقائيًا. احفظ الملف في مكان على جهازك.
4

اختياريًا، انقر فوق راجع دليل نشر أمان البيانات الهجينة للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا.

إنشاء ملف ISO للتكوين لمضيفات HDS

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

قبل البدء
1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية مع وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم المستخدم المسؤول لـ Partner Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

7

عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.

8

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

9

في صفحة استيراد ISO، لديك الخيارات التالية:

  • لا—إذا كنت تقوم بإنشاء عقدة HDS الأولى، فلن يكون لديك ملف ISO لتحميله.
  • نعم—إذا قمت بالفعل بإنشاء عقد HDS، فقم بتحديد ملف ISO الخاص بك في الاستعراض وقم بتحميله.
10

تأكد من أن شهادة X.509 الخاصة بك تلبي المتطلبات المذكورة في متطلبات شهادة X.509.

  • إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، ثم انقر فوق متابعة.
  • إذا كانت شهادتك جيدة، انقر فوق متابعة.
  • إذا انتهت صلاحية شهادتك أو كنت تريد استبدالها، حدد لا لـ هل تريد الاستمرار في استخدام سلسلة شهادة HDS والمفتاح الخاص من ISO السابقة؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، ثم انقر فوق متابعة.
11

أدخل عنوان قاعدة البيانات والحساب الخاص بـ HDS للوصول إلى مخزن البيانات الرئيسي الخاص بك:

  1. حدد نوع قاعدة البيانات الخاصة بك(PostgreSQL أو Microsoft SQL Server).

    إذا قمت باختيار Microsoft SQL Server، فستحصل على حقل نوع المصادقة.

  2. (Microsoft SQL Server فقط) حدد نوع المصادقة:

    • المصادقة الأساسية: يجب أن يكون لديك اسم حساب SQL Server محلي في حقل اسم المستخدم.

    • مصادقة Windows: يجب أن يكون لديك حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم.

  3. أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

    مثال:
    dbhost.example.org:1433 أو 198.51.100.17:1433

    يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا لم تتمكن العقد من استخدام DNS لحل اسم المضيف.

    إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم المجال المؤهل بالكامل بالتنسيق dbhost.example.org:1433

  4. أدخل اسم قاعدة البيانات.

  5. أدخل اسم المستخدم و كلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح.

12

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عقد HDS بروتوكول TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فستحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.

تتطلب TLS والتحقق من توقيع الشهادة

لا ينطبق هذا الوضع على قواعد بيانات SQL Server.

  • تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال.

استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

تتطلب TLS والتحقق من مُوقّع الشهادة واسم المضيف

  • تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.

  • بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال.

  • تتحقق العقد أيضًا من أن اسم المضيف في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ. يجب أن تتطابق الأسماء تمامًا، وإلا ستفقد العقدة الاتصال.

استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر فوق متابعة، تقوم أداة إعداد HDS باختبار اتصال TLS بخادم قاعدة البيانات. وتقوم الأداة أيضًا بالتحقق من مُوقّع الشهادة واسم المضيف، إذا كان ذلك ممكنًا. إذا فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار ما إذا كنت تريد تجاهل الخطأ ومواصلة الإعداد. (بسبب اختلافات الاتصال، قد تتمكن عقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختباره بنجاح.)

13

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

  1. أدخل عنوان URL لخادم syslog.

    إذا لم يكن الخادم قابلاً للحل بواسطة DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

    مثال:
    udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd 10.92.43.23 على منفذ UDP 514.

  2. إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فتحقق من هل تم تكوين خادم syslog الخاص بك لتشفير SSL؟.

    إذا قمت بتحديد مربع الاختيار هذا، فتأكد من إدخال عنوان URL الخاص بـ TCP مثل tcp://10.92.43.23:514.

  3. من القائمة المنسدلة Choose syslog record termination ، اختر الإعداد المناسب لملف ISO الخاص بك: يتم استخدام Choose أو Newline لـ Graylog وRsyslog TCP

    • بايت فارغ -- \x00

    • سطر جديد -- \n—حدد هذا الخيار لـ Graylog وRsyslog TCP.

  4. انقر على متابعة.

14

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxSize: 10
15

انقر فوق متابعة على شاشة إعادة تعيين كلمة مرور حسابات الخدمة.

تتمتع كلمات مرور حسابات الخدمة بفترة صلاحية تصل إلى تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من تاريخ انتهاء الصلاحية أو عندما تريد إعادة تعيينها لإبطال ملفات ISO السابقة.

16

انقر فوق تنزيل ملف ISO. احفظ الملف في مكان يمكنك العثور عليه بسهولة.

17

قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك.

احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

18

لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بعمل نسخة احتياطية لملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع نسخ ملف ISO، فستفقد أيضًا المفتاح الرئيسي. ليس من الممكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا نسخة من هذا المفتاح أبدًا ولا يمكننا مساعدتك إذا فقدته.

تثبيت HDS Host OVA

استخدم هذا الإجراء لإنشاء جهاز افتراضي من ملف OVA.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi.

2

حدد ملف > نشر قالب OVF.

3

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر فوق التالي.

4

في صفحة تحديد اسم ومجلد ، أدخل اسم الجهاز الظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن يوجد فيه نشر عقدة الجهاز الظاهري، ثم انقر فوق التالي.

5

في صفحة تحديد مورد الحوسبة ، اختر مورد الحوسبة الوجهة، ثم انقر فوق التالي.

يتم تشغيل فحص التحقق. بعد الانتهاء، تظهر تفاصيل القالب.

6

قم بالتحقق من تفاصيل القالب ثم انقر فوق التالي.

7

إذا طُلب منك اختيار تكوين الموارد في صفحة التكوين ، فانقر فوق 4 وحدة المعالجة المركزية ثم انقر فوق التالي.

8

في صفحة تحديد التخزين ، انقر فوق التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين الجهاز الظاهري.

9

في صفحة تحديد الشبكات ، اختر خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بالجهاز الافتراضي.

10

في صفحة تخصيص القالب ، قم بتكوين إعدادات الشبكة التالية:

  • اسم المضيف—أدخل اسم المضيف والنطاق (FQDN) أو اسم مضيف مكون من كلمة واحدة للعقدة.

    • لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509.

    • لضمان تسجيل ناجح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.

    • يجب ألا يتجاوز الطول الإجمالي لـ FQDN 64 حرفًا.

  • عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

    يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.

  • قناع—أدخل عنوان قناع الشبكة الفرعية بتنسيق النقاط العشرية. على سبيل المثال، 255.255.255.0.
  • بوابة—أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
  • خوادم DNS—أدخل قائمة مفصولة بفواصل من خوادم DNS، والتي تتعامل مع ترجمة أسماء النطاقات إلى عناوين IP رقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
  • خوادم NTP—أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية مع جميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP المتعددة.

  • قم بنشر جميع العقد على نفس الشبكة الفرعية أو شبكة VLAN، بحيث يمكن الوصول إلى جميع العقد في مجموعة من العملاء في شبكتك لأغراض إدارية.

إذا كنت تفضل ذلك، يمكنك تخطي تكوين إعدادات الشبكة واتباع الخطوات الموجودة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة التحكم في العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

11

انقر بزر الماوس الأيمن على العقدة VM، ثم اختر الطاقة > تشغيل.

يتم تثبيت برنامج Hybrid Data Security كضيف على VM Host. أنت الآن جاهز لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لمدة بضع دقائق قبل ظهور حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، وخلال هذه الفترة لا يمكنك تسجيل الدخول.

إعداد جهاز VM للأمان الهجين للبيانات

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security للمرة الأولى وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1

في عميل VMware vSphere، حدد VM لعقدة Hybrid Data Security الخاصة بك وحدد علامة التبويب Console.

يتم تشغيل الجهاز الافتراضي ويظهر موجه تسجيل الدخول. إذا لم يتم عرض مطالبة تسجيل الدخول، اضغط على Enter.
2

استخدم اسم المستخدم وكلمة المرور الافتراضيين التاليين لتسجيل الدخول وتغيير بيانات الاعتماد:

  1. تسجيل الدخول: admin

  2. كلمة المرور: cisco

نظرًا لأنك تقوم بتسجيل الدخول إلى جهاز VM الخاص بك لأول مرة، فستحتاج إلى تغيير كلمة مرور المسؤول.

3

إذا كنت قد قمت بالفعل بتكوين إعدادات الشبكة في تثبيت HDS Host OVA، فتخط بقية هذا الإجراء. وإلا، في القائمة الرئيسية، حدد خيار تحرير التكوين.

4

إعداد تكوين ثابت باستخدام عنوان IP والقناع والبوابة ومعلومات DNS. يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.

5

(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم NTP، إذا لزم الأمر لتتوافق مع سياسة الشبكة الخاصة بك.

لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509.

6

احفظ تكوين الشبكة وأعد تشغيل الجهاز الافتراضي حتى تسري التغييرات.

تحميل وتثبيت ISO لتكوين HDS

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحمل المفتاح الرئيسي، فيجب عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه بواسطة أجهزة VMs الخاصة بأمان البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط هم من يمكنهم الوصول إلى مخزن البيانات.

1

قم بتحميل ملف ISO من جهاز الكمبيوتر الخاص بك:

  1. في جزء التنقل الأيسر لعميل VMware vSphere، انقر فوق خادم ESXi.

  2. في قائمة الأجهزة الموجودة في علامة التبويب "التكوين"، انقر فوق التخزين.

  3. في قائمة مخازن البيانات، انقر بزر الماوس الأيمن فوق مخزن البيانات الخاص بأجهزة VM الخاصة بك وانقر فوق استعراض مخزن البيانات.

  4. انقر على أيقونة تحميل الملف، ثم انقر فوق تحميل ملف.

  5. انتقل إلى الموقع الذي قمت بتنزيل ملف ISO عليه على جهاز الكمبيوتر الخاص بك وانقر فوق فتح.

  6. انقر فوق نعم لقبول upload/download تحذير التشغيل، وأغلق مربع حوار مخزن البيانات.

2

قم بتثبيت ملف ISO:

  1. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  2. انقر فوق موافق لقبول تحذير خيارات التحرير المقيدة.

  3. انقر فوق CD/DVD Drive 1، ثم حدد خيار التحميل من ملف ISO لمخزن البيانات، وانتقل إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين إليه.

  4. تحقق من متصل و متصل عند تشغيل الطاقة.

  5. احفظ التغييرات وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات الخاصة بك تتطلب ذلك، فيمكنك بشكل اختياري إلغاء تحميل ملف ISO بعد أن تلتقط كافة العقد الخاصة بك تغييرات التكوين. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

1

أدخل عنوان URL لإعداد عقدة HDS https://[HDS Node IP or FQDN]/setup في متصفح الويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.

2

انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا:

  • لا يوجد وكيل—الخيار الافتراضي قبل دمج الوكيل. لا يلزم تحديث الشهادة.
  • وكيل شفاف غير فاحص— لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة.
  • وكيل الفحص الشفاف—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
  • الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار العميل (عقد HDS) بخادم الوكيل الذي يجب استخدامه، ويدعم هذا الخيار أنواعًا متعددة من المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية:

    1. وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.

    2. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها.

    3. بروتوكول الوكيل—اختر http (يعرض ويتحكم في جميع الطلبات التي يتم تلقيها من العميل) أو https (يوفر قناة إلى الخادم ويستقبل العميل ويتحقق من صحة شهادة الخادم). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل.

    4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:

      • لا شيء—لا يلزم إجراء أي مصادقة إضافية.

        متوفر لبروكسيات HTTP أو HTTPS.

      • أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.

        متوفر لبروكسيات HTTP أو HTTPS.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

      • ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.

        متوفر لبروكسيات HTTPS فقط.

        إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور.

اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.

3

انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل.

تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.

4

انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل.

إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك متابعة الإعداد، وستعمل العقدة في وضع حل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا خطأ، فاستكمل هذه الخطوات، ثم راجع إيقاف تشغيل وضع حل DNS الخارجي المحظور.

5

بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.

6

انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا.

تتم إعادة تشغيل العقدة في غضون بضع دقائق.

7

بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء.

يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي قمت بإنشائها في إعداد VM لأمن البيانات الهجين، وتسجل العقدة في سحابة Webex، وتحولها إلى عقدة أمان بيانات هجينة.

عندما تقوم بتسجيل العقدة الأولى، فإنك تقوم بإنشاء مجموعة يتم تعيين العقدة إليها. تحتوي المجموعة على عقدة واحدة أو أكثر تم نشرها لتوفير التكرار.

قبل البدء

  • بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.

  • تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم خدمات السحابة، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق إعداد.

4

في الصفحة التي تفتح، انقر فوق إضافة مورد.

5

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها.

نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

6

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
7

انقر فوق للانتقال إلى العقدة.

بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك تأكيد رغبتك في منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

8

حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة.

تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9

انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في مركز الشركاء.

في صفحة Hybrid Data Security ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة التبويب Resources. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العقد

لإضافة عقد إضافية إلى مجموعتك، ما عليك سوى إنشاء أجهزة افتراضية إضافية وتثبيت نفس ملف ISO للتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عقد على الأقل.

قبل البدء

  • بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.

  • تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1

قم بإنشاء جهاز افتراضي جديد من OVA، وكرر الخطوات الموجودة في تثبيت HDS Host OVA.

2

قم بإعداد التكوين الأولي على الجهاز الظاهري الجديد، وكرر الخطوات الموجودة في إعداد الجهاز الظاهري لأمان البيانات الهجين.

3

على الجهاز الافتراضي الجديد، كرر الخطوات الموجودة في تحميل وتثبيت ملف ISO الخاص بتكوين HDS.

4

إذا كنت تقوم بإعداد وكيل لنشر البرنامج، فكرر الخطوات الموجودة في تكوين عقدة HDS لتكامل الوكيل حسب الحاجة للعقدة الجديدة.

5

تسجيل العقدة.

  1. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

  2. في قسم خدمات السحابة، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق عرض الكل.

    تظهر صفحة موارد أمان البيانات الهجينة.

  3. ستظهر المجموعة التي تم إنشاؤها حديثًا في صفحة الموارد.

  4. انقر فوق المجموعة لعرض العقد المخصصة للمجموعة.

  5. انقر فوق إضافة عقدة على الجانب الأيمن من الشاشة.

  6. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة.

    سيتم فتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمنظمتك للوصول إلى العقدة الخاصة بك.

  7. حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة.

    تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.

  8. انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في مركز الشركاء.

    تظهر أيضًا رسالة منبثقةتمت إضافة العقدة في أسفل الشاشة في مركز الشركاء.

    تم تسجيل العقدة الخاصة بك.

إدارة منظمات المستأجرين على أمان البيانات الهجين متعدد المستأجرين

تفعيل HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من البدء في الاستفادة من HDS للحصول على مفاتيح التشفير المحلية وخدمات الأمان الأخرى.

قبل البدء

تأكد من أنك أكملت إعداد مجموعة HDS متعددة المستأجرين لديك مع العدد المطلوب من العقد.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم خدمات السحابة، ابحث عن أمان البيانات الهجينة وانقر فوق تحرير الإعدادات.

4

انقر فوق تنشيط HDS على بطاقة حالة HDS.

إضافة المنظمات المستأجرة في مركز الشركاء

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة أمان البيانات الهجينة الخاصة بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم خدمات السحابة، ابحث عن أمان البيانات الهجينة وانقر فوق عرض الكل.

4

انقر فوق المجموعة التي تريد تعيين العميل لها.

5

انتقل إلى علامة التبويب العملاء المعينون.

6

انقر فوق إضافة العملاء.

7

قم بتحديد العميل الذي تريد إضافته من القائمة المنسدلة.

8

انقر فوق إضافة، سيتم إضافة العميل إلى المجموعة.

9

كرر الخطوات من 6 إلى 8 لإضافة عملاء متعددين إلى مجموعتك.

10

انقر فوق تم في أسفل الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو موضح بالتفصيل في قم بإنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS

قبل البدء

قم بتعيين العملاء إلى المجموعة المناسبة كما هو مفصل في إضافة منظمات المستأجرين في مركز الشركاء. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد للمؤسسات العميلية المضافة حديثًا.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمنظمتك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • تغييرات على سياسة الترخيص

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية مع وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم المستخدم المسؤول لـ Partner Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

7

عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.

8

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

9

في صفحة استيراد ISO ، انقر فوق نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

تأكد من الاتصال بقاعدة البيانات الخاصة بك لأداء إدارة CMK.
11

انتقل إلى علامة التبويب إدارة مفاتيح إدارة المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة مفاتيح إدارة المستأجر.

  • إنشاء CMK لجميع المنظمات أو إنشاء CMK - انقر فوق هذا الزر الموجود على الشريط الموجود أعلى الشاشة لإنشاء CMKs لجميع المنظمات المضافة حديثًا.
  • انقر فوق زر إدارة مفاتيح إدارة العملاء على الجانب الأيمن من الشاشة وانقر فوق إنشاء مفاتيح إدارة العملاء لإنشاء مفاتيح إدارة العملاء لجميع المؤسسات المضافة حديثًا.
  • انقر فوق ... بالقرب من حالة إدارة CMK المعلقة لمنظمة معينة في الجدول وانقر فوق إنشاء CMK لإنشاء CMK لتلك المنظمة.
12

بمجرد إنشاء CMK بنجاح، ستتغير الحالة في الجدول من إدارة CMK معلقة إلى إدارة CMK.

13

إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة المنظمات المستأجرة

قبل البدء

بمجرد الإزالة، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسوف يفقدون جميع المساحات الموجودة. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب الخاص بك.

1

سجّل الدخول إلى https://admin.webex.com.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم خدمات السحابة، ابحث عن أمان البيانات الهجينة وانقر فوق عرض الكل.

4

في علامة التبويب الموارد ، انقر فوق المجموعة التي تريد إزالة منظمات العملاء منها.

5

في الصفحة التي تفتح، انقر فوق العملاء المعينون.

6

من قائمة منظمات العملاء المعروضة، انقر فوق ... على الجانب الأيمن من منظمة العملاء التي ترغب في إزالتها وانقر فوق إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إلغاء مفاتيح إدارة العملاء (CMKs) الخاصة بمنظمات العملاء كما هو مفصل في إلغاء مفاتيح إدارة العملاء (CMKs) للمستأجرين الذين تمت إزالتهم من HDS.

إلغاء مفاتيح إدارة المستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

إزالة العملاء من المجموعة المناسبة كما هو مفصل في إزالة منظمات المستأجرين. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة للمؤسسات العميلة التي تمت إزالتها.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمنظمتك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • تغييرات على سياسة الترخيص

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية مع وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

6

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم المستخدم المسؤول لـ Partner Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

7

عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.

8

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

9

في صفحة استيراد ISO ، انقر فوق نعم.

10

حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.

11

انتقل إلى علامة التبويب إدارة مفاتيح إدارة المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة مفاتيح إدارة المستأجر.

  • إلغاء مفاتيح إدارة العملاء لجميع المنظمات أو إلغاء مفاتيح إدارة العملاء - انقر فوق هذا الزر الموجود على الشريط الموجود أعلى الشاشة لإلغاء مفاتيح إدارة العملاء لجميع المنظمات التي تمت إزالتها.
  • انقر فوق زر إدارة مفاتيح إدارة العملاء على الجانب الأيمن من الشاشة وانقر فوق إلغاء مفاتيح إدارة العملاء لإلغاء مفاتيح إدارة العملاء لجميع المؤسسات التي تمت إزالتها.
  • انقر فوق بالقرب من حالة CMK المراد إلغاؤها لمنظمة معينة في الجدول وانقر فوق إلغاء CMK لإلغاء CMK لتلك المنظمة المحددة.
12

بمجرد نجاح إلغاء CMK، لن تظهر منظمة العميل في الجدول بعد الآن.

13

إذا لم تنجح عملية إلغاء CMK، فسيتم عرض خطأ.

اختبار نشر أمان البيانات الهجين الخاص بك

اختبار نشر أمان البيانات الهجينة لديك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير أمان البيانات الهجين متعدد المستأجرين.

قبل البدء

  • قم بإعداد نشر أمان البيانات الهجين متعدد المستأجرين.

  • تأكد من أن لديك إمكانية الوصول إلى syslog للتحقق من تمرير طلبات المفاتيح إلى نشر أمان البيانات الهجين متعدد المستأجرين.

1

يتم تعيين مفاتيح مساحة معينة من قبل منشئ المساحة. قم بتسجيل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر أمان البيانات الهجين، فلن يكون المحتوى في المساحات التي ينشئها المستخدمون متاحًا بعد استبدال نسخ مفاتيح التشفير المخزنة مؤقتًا لدى العميل.

2

إرسال الرسائل إلى المساحة الجديدة.

3

تحقق من مخرجات syslog للتأكد من أن طلبات المفاتيح يتم تمريرها إلى نشر Hybrid Data Security الخاص بك.

إذا قام مستخدم مؤسسة عميل تمت إضافتها حديثًا بأي إجراء، فسيظهر معرف المؤسسة في السجلات، ويمكن استخدام هذا للتحقق من أن المؤسسة تستفيد من HDS متعدد المستأجرين. تحقق من قيمة kms.data.orgId في syslogs.

  1. للتحقق من قيام المستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create و kms.data.type=EPHEMERAL_KEY_COLLECTION:

    يجب أن تجد إدخالاً مثل التالي (المعرفات المختصرة لسهولة القراءة):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. للتحقق من وجود مستخدم يطلب مفتاحًا موجودًا من KMS، قم بالتصفية على kms.data.method=retrieve و kms.data.type=KEY:

    يجب أن تجد إدخالاً مثل:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. للتحقق من وجود مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create و kms.data.type=KEY_COLLECTION:

    يجب أن تجد إدخالاً مثل:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. للتحقق من قيام المستخدم بطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create و kms.data.type=RESOURCE_COLLECTION:

    يجب أن تجد إدخالاً مثل: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

مراقبة صحة وأمان البيانات الهجينة

يُظهر لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر أمان البيانات الهجين متعدد المستأجرين. للحصول على تنبيهات أكثر استباقية، قم بالتسجيل للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود إنذارات تؤثر على الخدمة أو ترقيات للبرامج.
1

في مركز الشركاء، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.

2

في قسم خدمات السحابة، ابحث عن أمان البيانات الهجينة وانقر فوق تحرير الإعدادات.

تظهر صفحة إعدادات أمان البيانات الهجينة.
3

في قسم إشعارات البريد الإلكتروني، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولًا بفاصلات، ثم اضغط على Enter.

إدارة نشر HDS الخاص بك

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر أمان البيانات الهجين الخاص بك.

تعيين جدول ترقية المجموعة

يتم إجراء ترقيات البرامج الخاصة بأمان البيانات الهجينة تلقائيًا على مستوى المجموعة، مما يضمن أن جميع العقد تعمل دائمًا بنفس إصدار البرنامج. يتم إجراء الترقيات وفقًا لجدول الترقية للمجموعة. عندما يصبح ترقية البرنامج متاحة، يكون لديك خيار ترقية المجموعة يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية محدد أو استخدام الجدول الافتراضي لـ 3:00 صحيفة AM Daily الولايات المتحدة: America/Los أنجيليس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1

سجل الدخول إلى مركز الشركاء.

2

من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.

3

في قسم خدمات السحابة، ابحث عن أمان البيانات الهجينة وانقر فوق إعداد

4

في صفحة موارد أمان البيانات الهجينة، حدد المجموعة.

5

انقر فوق علامة التبويب إعدادات المجموعة.

6

في صفحة إعدادات المجموعة، ضمن جدول الترقية، حدد الوقت والمنطقة الزمنية لجدول الترقية.

ملاحظات تحت المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتاحة التالية. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، بالضغط على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

  • تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

    لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

  • تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

    لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

  • إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

  • إعادة الضبط الناعمة—تعمل كل من كلمات المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.

  • إعادة الضبط الثابت—تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة للشريك.

    إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1.a إلى 1.e في الإجراء أدناه. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

  1. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

    في البيئات العادية:

    docker rmi ciscocitg/hds-setup:stable

    في بيئات FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

  2. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

    docker login -u hdscustomersro

  3. في موجه كلمة المرور ، أدخل هذه التجزئة:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. قم بتنزيل أحدث صورة مستقرة لبيئتك:

    في البيئات العادية:

    docker pull ciscocitg/hds-setup:stable

    في بيئات FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

  5. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

    • في البيئات العادية بدون وكيل:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام وكيل HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في البيئات العادية باستخدام HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • في بيئات FedRAMP بدون وكيل:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • في بيئات FedRAMP باستخدام وكيل HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

  6. استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

    لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

  7. عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بعميل Partner Hub، ثم انقر فوق قبول للمتابعة.

  8. قم باستيراد ملف ISO للتكوين الحالي.

  9. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

    لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.

  10. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

2

إذا كان لديك عقدة HDS واحدة فقط تعمل على، قم بإنشاء عقدة Hybrid Data Security VM جديدة وقم بتسجيلها باستخدام ملف ISO الجديد للتكوين. للحصول على تعليمات أكثر تفصيلاً، راجع إنشاء المزيد من العقد وتسجيلها.

  1. قم بتثبيت مضيف HDS OVA.

  2. قم بإعداد HDS VM.

  3. قم بتحميل ملف التكوين المحدث.

  4. قم بتسجيل العقدة الجديدة في مركز الشركاء.

3

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

  1. قم بإيقاف تشغيل الآلة الافتراضية.

  2. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

  3. انقر فوق CD/DVD Drive 1، ثم حدد خيار التحميل من ملف ISO، وانتقل إلى الموقع الذي قمت بتنزيل ملف ISO الخاص بالتكوين الجديد فيه.

  4. حدد التوصيل أثناء التشغيل .

  5. احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

4

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.
1

في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.

2

انتقل إلى نظرة عامة (الصفحة الافتراضية).

عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.

3

انتقل إلى صفحة متجر الثقة والوكيل .

4

انقر فوق التحقق من اتصال الوكيل.

إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة أمان البيانات الهجينة من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع الوصول إلى بيانات الأمان الخاصة بك.
1

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi وإيقاف تشغيل الجهاز الظاهري.

2

إزالة العقدة:

  1. قم بتسجيل الدخول إلى مركز الشركاء، ثم حدد الخدمات.

  2. في بطاقة أمان البيانات الهجينة، انقر فوق عرض الكل لعرض صفحة موارد أمان البيانات الهجينة.

  3. قم بتحديد المجموعة الخاصة بك لعرض لوحة النظرة العامة الخاصة بها.

  4. انقر فوق العقدة التي تريد إزالتها.

  5. انقر فوق إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين

  6. يمكنك أيضًا إلغاء تسجيل العقدة بالنقر فوق ... على الجانب الأيمن من العقدة وتحديد إزالة هذه العقدة.

3

في عميل vSphere، احذف الجهاز الافتراضي. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق حذف.)

إذا لم تقم بحذف الجهاز الافتراضي، فتذكر إلغاء تحميل ملف ISO للتكوين. بدون ملف ISO، لا يمكنك استخدام الجهاز الظاهري للوصول إلى بيانات الأمان الخاصة بك.

استعادة الكوارث باستخدام مركز البيانات الاحتياطي

الخدمة الأكثر أهمية التي توفرها مجموعة أمان البيانات الهجينة الخاصة بك هي إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. بالنسبة لكل مستخدم داخل المؤسسة تم تعيينه لأمان البيانات الهجين، يتم توجيه طلبات إنشاء مفتاح جديد إلى المجموعة. كما أن المجموعة مسؤولة أيضًا عن إرجاع المفاتيح التي تم إنشاؤها إلى أي مستخدمين مخولين لاسترجاعها، على سبيل المثال، أعضاء مساحة المحادثة.

نظرًا لأن المجموعة تؤدي وظيفة مهمة تتمثل في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل وأن يتم الاحتفاظ بالنسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات أمان البيانات الهجينة أو تكوين ISO المستخدم للمخطط إلى خسارة غير قابلة للاسترداد لمحتوى العميل. إن الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت كارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء للانتقال يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

قم بإلغاء تسجيل جميع العقد من مركز الشركاء كما هو مذكور في إزالة عقدة. استخدم أحدث ملف ISO الذي تم تكوينه مقابل عقد المجموعة التي كانت نشطة مسبقًا، لإجراء عملية الفشل المذكورة أدناه.
1

ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS.

2

أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.

3

قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

4

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .

5

انقر فوق تحرير الإعدادات >CD/DVD محرك الأقراص 1 وحدد ملف ISO الخاص بمخزن البيانات.

تأكد من تحديد متصل و الاتصال عند التشغيل حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.

6

قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.

7

قم بتسجيل العقدة في مركز الشريك. راجع قم بتسجيل العقدة الأولى في المجموعة.

8

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

التصرف التالي

بعد الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بإلغاء تسجيل عقد مركز البيانات الاحتياطي وكرر عملية تكوين ISO وتسجيل عقد مركز البيانات الأساسي كما هو مذكور أعلاه.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يتم تشغيل تكوين HDS القياسي مع تثبيت ISO. لكن بعض العملاء يفضلون عدم ترك ملفات ISO مثبتة بشكل مستمر. يمكنك إلغاء تحميل ملف ISO بعد أن تلتقط كافة عقد HDS التكوين الجديد.

لا تزال تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ملف ISO جديد أو تحديث ملف ISO من خلال أداة الإعداد، يجب عليك تثبيت ملف ISO المحدث على جميع عقد HDS الخاصة بك. بمجرد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تحميل ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية جميع عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1

قم بإغلاق إحدى عقد HDS الخاصة بك.

2

في جهاز vCenter Server، حدد عقدة HDS.

3

اختر تحرير الإعدادات > CD/DVD قم بتشغيل وإلغاء تحديد ملف ISO الخاص بمخزن البيانات.

4

قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 20 دقيقة على الأقل.

5

كرر ذلك لكل عقدة HDS بالتناوب.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يعتبر نشر أمان البيانات الهجين غير متاح إذا كانت جميع العقد في المجموعة غير قابلة للوصول، أو إذا كانت المجموعة تعمل ببطء شديد بحيث تنتهي مهلة الطلبات. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسوف يواجهون الأعراض التالية:

  • لا يمكن إنشاء مساحات جديدة (غير قادر على إنشاء مفاتيح جديدة)

  • فشلت الرسائل وعناوين المساحات في فك التشفير لـ:

    • تمت إضافة مستخدمين جدد إلى مساحة (غير قادرين على جلب المفاتيح)

    • المستخدمون الحاليون في مساحة تستخدم عميلًا جديدًا (غير قادرين على جلب المفاتيح)

  • سيستمر المستخدمون الحاليون في مساحة ما في العمل بنجاح طالما أن عملائهم لديهم ذاكرة تخزين مؤقتة لمفاتيح التشفير

من المهم مراقبة مجموعة أمان البيانات الهجينة لديك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد أمان البيانات الهجين، يعرض مركز الشركاء تنبيهات لمسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. وتغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول 1. المشكلات الشائعة وخطوات حلها

تنبيه

الإجراء

فشل الوصول إلى قاعدة البيانات المحلية.

التحقق من وجود أخطاء في قاعدة البيانات أو مشكلات الشبكة المحلية.

فشل الاتصال بقاعدة البيانات المحلية.

تأكد من أن خادم قاعدة البيانات متاح، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.

فشل الوصول إلى الخدمة السحابية.

تأكد من أن العقد يمكنها الوصول إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجية.

تجديد تسجيل الخدمة السحابية.

تم إسقاط التسجيل في الخدمات السحابية. جاري تجديد التسجيل.

تم إسقاط تسجيل الخدمة السحابية.

تم إنهاء التسجيل في الخدمات السحابية. تم إيقاف الخدمة.

الخدمة لم يتم تفعيلها بعد.

قم بتفعيل HDS في مركز الشركاء.

المجال الذي تم تكوينه لا يتطابق مع شهادة الخادم.

تأكد من أن شهادة الخادم لديك تتطابق مع نطاق تنشيط الخدمة الذي قمت بتكوينه.

السبب الأكثر احتمالا هو أن شهادة CN تم تغييرها مؤخرًا وهي الآن مختلفة عن CN التي تم استخدامها أثناء الإعداد الأولي.

فشل في المصادقة على الخدمات السحابية.

التحقق من دقة بيانات اعتماد حساب الخدمة واحتمالية انتهاء صلاحيتها.

فشل في فتح ملف مخزن المفاتيح المحلي.

التحقق من سلامة ودقة كلمة المرور في ملف مخزن المفاتيح المحلي.

شهادة الخادم المحلي غير صالحة.

تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من إصدارها من قبل هيئة شهادة موثوقة.

غير قادر على نشر المقاييس.

التحقق من وصول الشبكة المحلية إلى الخدمات السحابية الخارجية.

/media/configdrive/hds الدليل غير موجود.

تحقق من تكوين تثبيت ISO على المضيف الافتراضي. تأكد من وجود ملف ISO، وأنه تم تكوينه ليتم تحميله عند إعادة التشغيل، وأنه تم تحميله بنجاح.

لم يتم إكمال إعداد منظمة المستأجر للمنظمات المضافة

أكمل الإعداد عن طريق إنشاء مفاتيح إدارة العملاء (CMKs) للمؤسسات المستأجرة المضافة حديثًا باستخدام أداة إعداد HDS.

لم يكتمل إعداد منظمة المستأجر للمنظمات التي تمت إزالتها

أكمل الإعداد عن طريق إلغاء مفاتيح إدارة العملاء (CMKs) للمؤسسات المستأجرة التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات أمان البيانات الهجينة وإصلاحها.
1

قم بمراجعة مركز الشركاء بحثًا عن أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للتوضيح.

2

قم بمراجعة مخرجات خادم syslog للنشاط الناتج عن نشر Hybrid Data Security. قم بتصفية الكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.

3

اتصل بدعم Cisco.

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

  • إذا قمت بإيقاف تشغيل مجموعة Hybrid Data Security (عن طريق حذفها في Partner Hub أو عن طريق إيقاف تشغيل جميع العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت الوصول إلى قاعدة بيانات مخزن المفاتيح، فلن يتمكن مستخدمو تطبيق Webex في مؤسسات العملاء من استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام مفاتيح من KMS الخاص بك. لا يوجد لدينا حاليًا حل بديل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف تشغيل خدمات HDS بمجرد تعاملها مع حسابات المستخدمين النشطة.

  • يحافظ العميل الذي لديه اتصال ECDH موجود مع KMS على هذا الاتصال لفترة زمنية (ربما ساعة واحدة).

تشغيل أداة إعداد HDS باستخدام Podman Desktop

Podman هي أداة إدارة حاويات مجانية ومفتوحة المصدر توفر طريقة لتشغيل الحاويات وإدارتها وإنشائها. يمكن تنزيل Podman Desktop من https://podman-desktop.io/downloads.

  • تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للتمكن من الوصول إليه، قم بتنزيل Podman وتشغيله على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

    إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

    الوصف

    المتغير

    وكيل HTTP بدون مصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    وكيل HTTPS بدون مصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    وكيل HTTP مع المصادقة

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    وكيل HTTPS مع المصادقة

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:

    • بيانات اعتماد قاعدة البيانات

    • تحديثات الشهادة

    • تغييرات على سياسة الترخيص

  • إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

1

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

podman rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

2

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

podman login docker.io -u hdscustomersro
3

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

podman pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

  • في البيئات العادية بدون وكيل:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • في البيئات العادية باستخدام وكيل HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في البيئات العادية مع وكيل HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • في بيئات FedRAMP بدون وكيل:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTP:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • في بيئات FedRAMP باستخدام وكيل HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

التصرف التالي

اتبع الخطوات المتبقية في إنشاء ISO للتكوين لمضيفات HDS أو تغيير تكوين العقدة لإنشاء أو تغيير تكوين ISO.

نقل نشر HDS الحالي للمستأجر الفردي لمؤسسة شريكة في Control Hub إلى إعداد HDS متعدد المستأجرين في Partner Hub

تتضمن عملية التحويل من نشر HDS لمستأجر واحد موجود لمنظمة شريكة تتم إدارته في Control Hub إلى نشر HDS متعدد المستأجرين تتم إدارته في Partner Hub بشكل أساسي إلغاء تنشيط خدمة HDS في Control Hub وإلغاء تسجيل العقد وحذف المجموعة. يمكنك بعد ذلك تسجيل الدخول إلى Partner Hub، وتسجيل العقد، وتنشيط Multi-Tenant HDS وإضافة العملاء إلى مجموعتك.

يشير مصطلح "المستأجر الفردي" ببساطة إلى نشر HDS موجود في Control Hub.

إلغاء تنشيط HDS وإلغاء تسجيل العقد وحذف المجموعة في Control Hub

1

تسجيل الدخول إلى مركز التحكم. في الجزء الأيسر، انقر فوق هجين. في بطاقة أمان البيانات الهجينة، انقر فوق تحرير الإعدادات.

2

في صفحة الإعدادات، قم بالتمرير لأسفل إلى قسم إلغاء التنشيط وانقر فوق إلغاء التنشيط.

3

بعد إلغاء التنشيط، انقر فوق علامة التبويب الموارد.

4

تسرد صفحة الموارد مجموعات في نشر HDS الخاص بك. انقر فوق مجموعة، وسيتم فتح صفحة تحتوي على جميع العقد الموجودة ضمن تلك المجموعة.

5

انقر فوق ... على اليمين وانقر فوق إلغاء تسجيل العقدة. كرر العملية لجميع العقد في المجموعة.

6

إذا كان نشرك يتضمن مجموعات متعددة، كرر الخطوتين 4 و5 حتى يتم إلغاء تسجيل جميع العقد.

7

انقر فوق إعدادات المجموعة > يزيل.

8

انقر فوق تأكيد الإزالة لإلغاء تسجيل المجموعة.

9

كرر هذه العملية لجميع المجموعات الموجودة في نشر HDS الخاص بك.

بعد إلغاء تنشيط HDS وإلغاء تسجيل العقد وإزالة المجموعات، ستظهر رسالة Setup not complete في الأسفل على بطاقة Hybrid Data Service الموجودة على Control Hub.

قم بتنشيط HDS متعدد المستأجرين للمنظمة الشريكة على Partner Hub وأضف العملاء

قبل البدء

تنطبق هنا جميع المتطلبات الأساسية المذكورة في متطلبات أمن البيانات الهجينة متعددة المستأجرين. بالإضافة إلى ذلك، تأكد من استخدام نفس قاعدة البيانات والشهادات أثناء النقل إلى HDS متعدد المستأجرين.

1

تسجيل الدخول إلى مركز الشركاء. انقر فوق الخدمات في الجزء الأيسر.

استخدم نفس ISO من نشر HDS السابق لتكوين العقد. سيضمن هذا إمكانية الوصول إلى الرسائل والمحتوى الذي تم إنشاؤه بواسطة المستخدمين في نشر HDS الحالي السابق في إعداد المستأجرين المتعددين الجديد.

2

في قسم خدمات السحابة، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق إعداد.

3

في الصفحة التي تفتح، انقر فوق إضافة مورد.

4

في الحقل الأول من بطاقة إضافة عقدة ، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها.

نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"

5

في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة في أسفل الشاشة.

يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM.

تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
6

انقر فوق للانتقال إلى العقدة.

بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك تأكيد رغبتك في منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.

7

حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة.

تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. في صفحة Hybrid Data Security ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة التبويب Resources. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.
8

انتقل إلى علامة التبويب الإعدادات ، وانقر فوق تنشيط على بطاقة حالة HDS.

ستظهر رسالةتم تنشيط HDS في أسفل الشاشة.
9

في الموارد، انقر فوق المجموعة التي تم إنشاؤها حديثًا.

10

في الصفحة التي تفتح، انقر فوق علامة التبويب العملاء المعينون.

11

انقر فوق إضافة العملاء.

12

قم بتحديد العميل الذي تريد إضافته من القائمة المنسدلة.

13

انقر فوق إضافة، سيتم إضافة العميل إلى المجموعة.

14

كرر الخطوات من 11 إلى 13 لإضافة عملاء متعددين إلى مجموعتك.

15

انقر فوق تم في أسفل الشاشة بمجرد إضافة العملاء.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو موضح بالتفصيل في قم بإنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

استخدام OpenSSL لإنشاء ملف PKCS12

قبل البدء

  • OpenSSL هي إحدى الأدوات التي يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع طريقة على أخرى.

  • إذا اخترت استخدام OpenSSL، فنحن نقدم لك هذا الإجراء كدليل لمساعدتك في إنشاء ملف يلبي متطلبات شهادة X.509 في متطلبات شهادة X.509. افهم هذه المتطلبات قبل الاستمرار.

  • قم بتثبيت OpenSSL في بيئة مدعومة. انظر https://www.openssl.org للحصول على البرنامج والوثائق.

  • إنشاء مفتاح خاص.

  • ابدأ هذا الإجراء عند استلام شهادة الخادم من هيئة الشهادات (CA) الخاصة بك.

1

عند استلام شهادة الخادم من سلطة التصديق الخاصة بك، احفظها باسم hdsnode.pem.

2

عرض الشهادة كنص، والتحقق من التفاصيل.

openssl x509 -text -noout -in hdsnode.pem

3

استخدم محرر النصوص لإنشاء ملف حزمة شهادة يسمى hdsnode-bundle.pem. يجب أن يتضمن ملف الحزمة شهادة الخادم، وأي شهادات CA وسيطة، وشهادات CA الجذر، بالتنسيق أدناه:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

قم بإنشاء ملف . p12 بالاسم المألوف kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

تحقق من تفاصيل شهادة الخادم.

  1. openssl pkcs12 -in hdsnode.p12

  2. أدخل كلمة المرور عند المطالبة بتشفير المفتاح الخاص بحيث يتم إدراجه في الإخراج. ثم تأكد من أن المفتاح الخاص والشهادة الأولى يتضمنان الأسطر friendlyName: kms-private-key.

    مثال:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

التصرف التالي

العودة إلى استكمال المتطلبات الأساسية لأمن البيانات الهجينة. سوف تستخدم الملف hdsnode.p12 وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO للتكوين لمضيفات HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عقد أمان البيانات الهجينة مقاييس معينة إلى سحابة Webex. تتضمن هذه المقاييس النظامية لأقصى حد للكومة، والكومة المستخدمة، وحمل وحدة المعالجة المركزية، وعدد الخيوط؛ والمقاييس الخاصة بالخيوط المتزامنة وغير المتزامنة؛ والمقاييس الخاصة بالتنبيهات التي تنطوي على حد أدنى لاتصالات التشفير، أو زمن الوصول، أو طول قائمة انتظار الطلبات؛ والمقاييس الخاصة بمخزن البيانات؛ ومقاييس اتصالات التشفير. ترسل العقد مادة رئيسية مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

  • طلبات التشفير من العملاء، والتي يتم توجيهها بواسطة خدمة التشفير

  • ترقيات لبرنامج العقدة

تكوين وكلاء Squid لأمان البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن لوكلاء Squid الذين يقومون بفحص حركة مرور HTTPS أن يتداخلوا مع إنشاء اتصالات websocket (wss:) التي يتطلبها أمان البيانات الهجين. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل حركة المرور wss: للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف التوجيه on_unsupported_protocol إلى squid.conf:

on_unsupported_protocol tunnel all

الحبار 3.5.27

لقد قمنا باختبار أمان البيانات الهجينة بنجاح مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
هل كان هذا المقال مفيدًا؟
هل كان هذا المقال مفيدًا؟
التسعيرتطبيق WebexMeetingsالاتصالالمراسلةمشاركة الشاشة
Webex SuiteالاتصالMeetingsالمراسلةSlidoندوات الإنترنتEventsمركز الاتصالCPaaSالأمانControl Hub
سماعات الرأسالكاميراتسلسلة Deskسلسلة Roomسلسلة Boardسلسلة الهاتفالملحقات
التعليمالرعاية الصحيةالحكومةالمالالرياضة والترفيهFrontlineعمل تجاري بغير هدف الربحالشركات الناشئةالعمل الهجين
التنزيلاتالانضمام إلى اجتماع اختباريدروس على الإنترنتعمليات الدمجإمكانية الوصولالشموليةندوات الإنترنت المباشرة وعند الطلبمجتمع Webexمطورو Webexالأخبار والابتكارات
Ciscoالاتصال بالدعمتواصل مع المبيعاتWebex Blogقيادة Webex الرشيدةمتجر Webex Merchالمهن
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
الشروط والأحكامبيان الخصوصيةملفات تعريف الارتباطالعلامات التجارية
©2025 Cisco و/أو الشركات التابعة لها. جميع الحقوق محفوظة.
الشروط والأحكامبيان الخصوصيةملفات تعريف الارتباطالعلامات التجارية