- Начало
- /
- Статия
Благодарим за обратната връзка.
Ръководство за разполагане за хибридна защита на данните на Webex
В тази статия
Обратна връзка?Нова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
 | Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Никаква — Не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки към KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Control Hub. |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
|
Дата |
Направени промени | ||
|---|---|---|---|
|
20 октомври 2023 г |
| ||
|
07 август 2023 г |
| ||
|
23 май 2023 г |
| ||
|
06 декември 2022 г |
| ||
|
23 ноември 2022 г |
| ||
|
13 октомври 2021 г. |
Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
|
юни 24, 2021 |
Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. |
Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
|
24 февруари 2021 |
HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
|
Февруари 2, 2021 |
HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
|
11 януари 2021 г |
Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
|
13 октомври 2020 г |
Актуализиран Изтеглете инсталационни файлове . | ||
|
08 октомври 2020 г. |
Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
|
14 август 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
|
5 август 2020 г |
Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
|
16 юни 2020 г |
Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
|
4 юни 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
|
29 май 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
|
5 май 2020 г |
Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
|
21 април 2020 г |
Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
|
1 април 2020 г. |
Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 14 февруари 2019 г. | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 |
Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
|
8 ноември 2019 г |
Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
|
6 септември 2019 г |
Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| Август 20, 2019 |
Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
|
Януари 24, 2019 |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
|
31 юли 2018 г |
| ||
| 21 май 2018 г. |
Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
|
2 ноември 2017 г |
| ||
|
18 август 2017 г |
Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
-
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
-
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
-
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
-
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
-
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
-
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
-
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
-
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
-
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
-
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
-
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
-
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 |
След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 |
На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 |
Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 |
В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 |
Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 |
Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 |
Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране пасивен режим в ISO файла и го запишете, можете да създадете друго копие на ISO файла без пасивен режим конфигурация и я запазете на сигурно място. Това копие на ISO файла без пасивен режим configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Поддръжка на прокси
Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.
Хибридните възли за защита на данните поддържат следните опции за прокси:
-
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
-
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
-
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
-
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
-
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
-
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
-
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
-
HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
-
HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
-
-
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
-
Никаква — Не се изисква допълнително удостоверяване.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
-
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
Предлага се само ако изберете HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
-
Пример за хибридни данни сигурност възли и прокси
Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.
Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
-
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
|
Изискване |
Подробности |
|---|---|
|
По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
|
CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
|
Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки към KMS на други организации. |
|
Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
-
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
-
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
-
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC драйвер 42.2.5 |
SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
-
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
-
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
-
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
-
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
|
Приложение |
Протокол |
Порт |
Упътване от ап |
Дестинация |
|---|---|---|---|---|
|
Възли за хибридна защита на данните |
TCP |
443 |
Изходящ HTTPS и WSS |
|
|
Инструмент за настройка на HDS |
TCP |
443 |
Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
|
Регион |
Общи URL адреси на хост за самоличност |
|---|---|
|
Северна и Южна Америка |
|
|
Европейски съюз |
|
|
Канада |
|
Изисквания към прокси сървъра
-
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
-
Прозрачен прокси-Уред за уеб защита cisco (WSA).
-
Изрична прокси-Сепия.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на връзки с websocket (wss:). За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
-
-
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
-
Без удостоверяване с HTTP или HTTPS
-
Базово удостоверяване с HTTP или HTTPS
-
Смилане на удостоверяване само с HTTPS
-
-
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
-
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
-
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към
wbx2.com и ciscospark.com ще решипроблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 |
Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 |
Изберете име на домейн за внедряването на HDS (например | ||
| 3 |
Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 |
Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 |
За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 |
Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 |
Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 |
Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 |
Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея наhttp://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 |
Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 |
Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 |
Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 |
Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 |
Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 |
Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 |
Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 |
Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 |
Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 |
Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 |
Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 |
В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 |
Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 |
По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://SERVER_ IP: PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://SERVER_ IP: PORTHTTP прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT -
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
-
Данни за база данни
-
Актуализации на сертификата
-
Промени в политиката за оторизация
-
-
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 |
В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: В среди на FedRAMP:
| ||||||||||||
| 2 |
За да влезете в регистъра на изображения на Docker, въведете следното: | ||||||||||||
| 3 |
При подканата за парола въведете този хеш: | ||||||||||||
| 4 |
Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: В среди на FedRAMP: | ||||||||||||
| 5 |
Когато изтеглянето приключи, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 |
Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 |
На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 |
На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 |
Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 |
Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 |
Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 |
На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 |
(По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 |
Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 |
Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 |
За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 |
Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 |
Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 |
В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 |
На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 |
На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 |
Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 |
Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 |
На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 |
На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 |
На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 |
Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 |
В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 |
Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 |
Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 |
Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 |
(По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 |
Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 |
Качете ISO файла от вашия компютър: |
| 2 |
Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигуриране на HDS възел за интегриране на прокси сървър
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.
Преди да започнете
| 1 |
Въведете URL адреса за настройка на HDS възел |
| 2 |
Отидете на Хранилище на доверие & Прокси , след което изберетеопция:
Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси. |
| 3 |
Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла. |
| 4 |
Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 |
След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила. |
| 6 |
Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути. |
| 7 |
След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
-
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
-
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 |
Влезте в https://admin.webex.com. |
| 2 |
От менюто в лявата част на екрана изберете Услуги . |
| 3 |
В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 |
Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 |
В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“ |
| 6 |
Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 |
Щракнете върху Отидете на Node . |
| 8 |
Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 |
Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 |
Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
-
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
-
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 |
Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 |
Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 |
На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 |
Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 |
Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 |
Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 |
Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 |
Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 |
Добавяне или премахване на потребители от вашия пробен период |
| 6 |
Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 |
Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 |
Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
-
Настройте внедряването на хибридната защита на данните.
-
Активирайте пробната версия и добавете няколко пробни потребители.
-
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 |
Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 |
Изпращайте съобщения до новото пространство. | ||
| 3 |
Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 |
В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 |
В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 |
В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup ; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 |
Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете върху Запиши. |
Преминете от пробна версия към производствена
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 |
Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Деактивиране щракнете Деактивирайте . |
| 4 |
Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 |
Влезте в Control Hub. |
| 2 |
На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 |
На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 |
В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 |
На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
-
Промяна на x.509 сертификати поради изтичане или други причини.
Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
-
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
-
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
-
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
-
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://SERVER_ IP: PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://SERVER_ IP: PORTHTTP прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT -
Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.
| 1 |
Използвайки Docker на локална машина, стартирайте HDS Setup Tool.
| ||||||
| 2 |
Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 |
За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 |
Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключване на режим на блокирана външна DNS разделителна способност
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.
Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.
Преди да започнете
| 1 |
В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане. |
| 2 |
Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да . |
| 3 |
Отидете на страницата Хранилище на доверие & Прокси. |
| 4 |
Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не. |
Какво да направите след това
Премахване на възел
| 1 |
Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 |
Премахнете възела: |
| 3 |
В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 |
След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 |
На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 |
Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 |
В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 |
Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 |
Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 |
Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 |
Изключете един от вашите HDS възли. |
| 2 |
Във vCenter Server Appliance изберете HDS възела. |
| 3 |
Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 |
Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 |
Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
-
Не могат да се създават нови пространства (не може да се създадат нови ключове)
-
Съобщенията и заглавията на пространството не могат да се дешифрират за:
-
Нови потребители, добавени към пространство (не могат да извлекат ключове)
-
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
-
-
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Сигнали
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
|
Предупреждение |
Действие |
|---|---|
|
Отказ на достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
|
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
|
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
|
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
|
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
|
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
|
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
|
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
|
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
|
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
|
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
|
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 |
Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 |
Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 |
Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
-
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
-
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
-
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
-
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
-
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
-
Създайте частен ключ.
-
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 |
Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 |
Покажете сертификата като текст и проверете подробностите.
|
| 3 |
Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 |
Създайте .p12 файла с приятелското име
|
| 5 |
Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
-
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
-
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез сепия прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss: ) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмята 4 и 5
Добаветеon_unsupported_protocol директива за squid.conf :
on_unsupported_protocol тунел всичкоСепия 3.5.27
Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.
acl wssMercuryConnection ssl::server_name_regex живачна връзкаssl_bump снаждане wssMercuryConnection acl step1at_step SslBump1 acl стъпка 2at_step SslBump2 acl стъпка 3at_step SslBump3ssl_bump погледнете стъпка 1 всичкиssl_bump гледайте стъпка 2 всичкиssl_bump bump step3 всичкиПредговор
Нова и променена информация
|
Дата |
Направени промени |
|---|---|
|
20 октомври 2023 г. |
|
|
07 август 2023 г. |
|
|
23 май 2023 г. |
|
|
06 декември 2022 г. |
|
|
23 ноември 2022 г. |
|
|
13 октомври 2021 г. |
Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате възли на HDS. Вижте Изисквания за закачане на работния плот. |
|
юни 24, 2021 |
Имайте предвид, че можете да използвате повторно файла с частен ключ и CSR, за да поискате друг сертификат. Вижте Използване на OpenSSL за генериране на PKCS12 файл за подробности. |
| 30 април 2021 г. |
Променено е изискването за VM за локално място на твърдия диск на 30 GB. Вижте Изисквания за виртуален организатор за подробности. |
|
24 февруари 2021 |
Инструментът за настройка на HDS вече може да се изпълнява зад прокси сървър. Вижте Създаване на конфигурация ISO за хостовете на HDS за подробности. |
|
Февруари 2, 2021 |
HDS вече може да се изпълнява без монтиран ISO файл. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности. |
|
11 януари 2021 г. |
Добавена е информация за инструмента за настройка на HDS и прокси сървъри, за да се създаде конфигурационен ISO за хостовете на HDS. |
|
13 октомври 2020 г |
Изтегляне на инсталационни файлове е актуализирано. |
|
08 октомври 2020 г. |
Актуализиран е Създаване на конфигурация ISO за HDS хостовете и Промяна на конфигурацията на възела с команди за среди на FedRAMP. |
|
14 август 2020 г |
Актуализиран е Създаване на конфигурация ISO за хостовете на HDS и Промяна на конфигурацията на възела с промени в процеса на влизане. |
|
5 август 2020 г |
Актуализиран Тестване на внедряването на хибридна защита на данни за промени в съобщенията в регистрационните файлове. Актуализирани са изискванията за виртуален организатор , за да се премахне максималният брой организатори. |
|
16 юни 2020 г |
Актуализиран е Премахване на възел за промени в потребителския интерфейс на Control Hub. |
|
4 юни 2020 г |
Актуализиран е Създаване на конфигурационен ISO за хостовете на HDS за промени в разширените настройки, които може да зададете. |
|
29 май 2020 г |
Актуализиран е Създаване на конфигурационен ISO за хостовете на HDS , за да се покаже, че можете да използвате и TLS с бази данни на SQL Server, промени на потребителския интерфейс и други пояснения. |
|
5 май 2020 г |
Актуализирани са изискванията за виртуален хост, за да се покаже новото изискване на ESXi 6.5. |
|
21 април 2020 г. |
Актуализирани са Изисквания за външна свързаност с нови организатори на CI в Americas. |
|
1 април 2020 г. |
Актуализирани са Изисквания за външна свързаност с информация за регионалните организатори на CI. |
| 20 февруари 2020 г | Актуализиран е Създаване на конфигурационен ISO за хостовете на HDS с информация за нов екран с незадължителни разширени настройки в инструмента за настройка на HDS. |
| 14 февруари 2019 г. | Актуализирани са изискванията за прокси сървъра. |
| 16 декември 2019 г. | Поясни изискването за режим на блокирано външно разрешаване на DNS, за да работи в Изисквания към прокси сървъра. |
| 19 ноември 2019 |
Добавена е информация за режима на блокирано външно DNS разрешаване в следните раздели: |
|
8 ноември 2019 г |
Вече можете да конфигурирате мрежови настройки за даден възел, докато разполагате с OVA, а не след това. Следните раздели са съответно актуализирани: Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 6.5. Опцията може да не е налична в по-ранни версии. |
|
6 септември 2019 г |
Добавен е SQL Server Standard към изискванията за сървъра за база данни. |
| Август 29, 2019 | Добавено е приложение Конфигуриране на прокси сървъри за хибридна защита на данни с насоки за конфигуриране на прокси сървъри за игнориране на трафика на уеб сокети за правилна работа. |
| Август 20, 2019 |
Добавени и актуализирани раздели, за да обхванат поддръжката на прокси сървър за комуникации с възела на хибридна защита на данни към облака на Webex. За достъп само до съдържанието на прокси поддръжката за съществуващо разполагане вижте помощната статия Поддръжка на прокси сървъра за хибридна защита на данни и Webex Video Mesh . |
| 13 юни 2019 г. | Актуализиран е Пробен в производствен поток на задачи с напомняне за синхронизиране на груповия обект HdsTrialGroup преди започване на пробен период, ако вашата организация използва синхронизиране на указатели. |
| 06 март 2019 г. |
|
| Февруари 28, 2019 |
|
| 26 февруари 2019 г. |
|
|
Януари 24, 2019 |
|
| 5 ноември 2018 г. |
|
| 19 октомври 2018 г. |
|
|
Юли 31, 2018 |
|
| 21 май 2018 г. |
Променена терминология, за да отрази ребрандиране на Cisco Spark:
|
| 11 април 2018 г. |
|
| 22 февруари 2018 г |
|
| 15 февруари 2018 |
|
| 18 януари 2018 |
|
|
2 ноември 2017 г |
|
|
18 август 2017 г. |
Първо публикуване |
Първи стъпки с хибридна защита на данни
Общ преглед на хибридна защита на данни
От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.
По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на областта на сигурността
Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.
За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.
На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:
-
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
-
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
-
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
-
Шифрованото съобщение се съхранява в областта на мястото за съхранение.
Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва с вашето разполагане на хибридна защита на данни.
Очаквания за внедряване на хибридна защита на данни
Внедряването на хибридна защита на данни изисква значителна ангажираност на клиентите и осведоменост за рисковете, които идват от притежанието на ключове за шифроване.
За да разположите хибридна защита на данни, трябва да предоставите:
-
Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:
-
Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
-
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.
Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни:
Настройка на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуера на хибридна защита на данни, тестване на внедряването ви с поднабор от потребители в пробен режим и след като тестването ви завърши, преминаване към производство. Това конвертира цялата организация, за да използва вашия клъстер на хибридна защита на данни за функции на защитата.
Етапите на настройка, изпробване и производство са подробно описани в следващите три глави.
-
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Control Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
-
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.
Модел на разполагане на хибридна защита на данни
В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.
По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)
Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Поддържаме само един клъстер на организация.
Пробен режим на хибридна защита на данни
След като настроите разполагане на хибридна защита на данни, първо го изпробвайте с набор от пилотни потребители. По време на пробния период тези потребители използват вашия локален домейн за хибридна защита на данни за ключове за шифроване и други услуги от областта на защитата. Другите ви потребители продължават да използват областта на защита на облака.
Ако решите да не продължите с разполагането по време на пробния период и да деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови места по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят \„Това съобщение не може да бъде дешифрирано\“ в приложението Webex.
Ако сте доволни, че разполагането ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данни до всички свои потребители, преместете разполагането в производство. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Не можете обаче да се движите напред-назад между производствения режим и първоначалното изпробване. Ако трябва да деактивирате услугата, например да извършите възстановяване след бедствие, когато активирате повторно, трябва да започнете нов пробен период и да настроите набора от пилотни потребители за новия пробен период, преди да се върнете към производствен режим. Дали потребителите запазват достъпа до данни в този момент зависи от това дали успешно сте поддържали резервни копия на хранилището за основни данни и конфигурационния файл за ISO за възлите на хибридна защита на данни във вашия клъстер.
Standby Data Center за възстановяване при бедствия
По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.
Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ. ISO файлът на центъра за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да се справят с трафика. Следователно възлите на центъра за данни в режим на готовност винаги остават актуални с най-новата версия на софтуера на HDS.
Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.
Настройване на Standby Data Center за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на центъра за данни в режим на готовност:
Преди да започнете
-
Центърът за данни в режим на готовност трябва да отразява производствената среда на VMs и архивна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs. (Вижте Standby Data Center for Disaster Recovery за общ преглед на този модел на отказ.)
-
Уверете се, че синхронизирането на базата данни е разрешено между базата данни на активните и пасивните възли на клъстерите.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS. ISO файлът трябва да бъде копие на оригиналния ISO файл на основния център за данни, върху който трябва да се направят следните актуализации на конфигурацията. |
| 2 |
След конфигурирането на сървъра Syslogd щракнете върху Разширени настройки |
| 3 |
На страницата Разширени настройки добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и свързан към облака, но няма да обработва никакъв трафик.
|
| 4 |
Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място. |
| 5 |
Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията. |
| 6 |
В левия навигационен екран на клиента VMware vSphere щракнете с десния бутон върху VM и щракнете върху Редактиране на настройките.. |
| 7 |
Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите. |
| 8 |
Включете възела на HDS и се уверете, че няма аларми поне 15 минути. |
| 9 |
Повторете процеса за всеки възел в центъра за данни в режим на готовност. Проверете регистрационните файлове в syslog, за да потвърдите, че възлите са в пасивен режим. Трябва да можете да виждате съобщението „KMS, конфигурирано в пасивен режим“ в регистрационните файлове в syslog. |
Какво да направите след това
След като конфигурирате passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без конфигурацията на passiveMode и да го запишете на защитено място. Това копие на ISO файла без конфигуриран passiveMode може да помогне при бърз процес на отказ по време на възстановяване след бедствие. Вижте Възстановяване при бедствие с използване на Standby Data Center за подробната процедура при отказ.
Поддръжка на прокси
Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.
Хибридните възли за защита на данните поддържат следните опции за прокси:
-
Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
-
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
-
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
-
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
-
Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
-
Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
-
Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
-
HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
-
HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
-
-
Тип удостоверяване – изберете измежду следните типове удостоверяване:
-
Няма – Не се изисква допълнително удостоверяване.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
-
Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
Предлага се само ако изберете HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
-
Пример за хибридни данни сигурност възли и прокси
Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.
Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.
Подгответе средата си
Изисквания за хибридна защита на данните
Изисквания за лицензи за Cisco Webex
За да разположите хибридна защита на данните:
-
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)
Изисквания за закачане на работния плот
Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".
X.509 Изисквания за сертификата
Веригата на сертификатите трябва да отговаря на следните изисквания:
|
Изискване |
Подробности |
|---|---|
|
По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна. Изберете домейн, който може да се прилага както за пробно, така и за производствени разполагания. |
|
Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации. |
|
Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.
Изисквания за виртуален организатор
Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:
-
Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
-
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-стара версия на ESXi.
-
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър
Изисквания към сървъра за база данни
Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.
Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:
|
PostgreSQL |
Microsoft SQL сървър |
|---|---|
|
|
|
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение) |
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение) |
HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:
|
PostgreSQL |
Microsoft SQL сървър |
|---|---|
|
Postgres JDBC драйвер 42.2.5 |
SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:
-
Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
-
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
-
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
-
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.
Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.
Изисквания за външна връзка
Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:
|
Приложение |
Протокол |
Порт |
Посока от приложението |
Местоназначение |
|---|---|---|---|---|
|
Възли на хибридна защита на данни |
TCP |
443 |
Изходящи HTTPS и ВиК |
|
|
Инструмент за настройка на HDS |
TCP |
443 |
Изходящ HTTPS |
|
Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.
URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:
|
Регион |
URL адреси на организатор на Common Identity |
|---|---|
|
Северна и Южна Америка |
|
|
Европейски съюз |
|
|
Канада |
|
Изисквания към прокси сървъра
-
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
-
Прозрачен прокси-Уред за уеб защита cisco (WSA).
-
Изрична прокси-Сепия.
Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
-
-
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
-
Без удостоверяване с HTTP или HTTPS
-
Базово удостоверяване с HTTP или HTTPS
-
Смилане на удостоверяване само с HTTPS
-
-
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
-
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
-
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към
wbx2.com и ciscospark.com ще решипроблема.
Изпълнете предварителните изисквания за хибридна защита на данни
| 1 |
Уверете се, че вашата организация в Webex е разрешена за Pro Pack за Cisco Webex Control Hub, и получете идентификационните данни за акаунт с пълни права на администратор на организацията. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. |
| 2 |
Изберете име на домейн за разполагането на HDS (например |
| 3 |
Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор. |
| 4 |
Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. |
| 5 |
За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs. |
| 6 |
Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514). |
| 7 |
Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка. |
| 8 |
Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност. |
| 9 |
Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Вашата организация може да се нуждае от лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност. |
| 10 |
Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър. |
| 11 |
Ако вашата организация използва синхронизиране на указатели, създайте група в Active Directory, наречена Бутоните за дадено място се задават от създателя на мястото. Когато избирате пилотни потребители, имайте предвид, че ако решите за постоянно да деактивирате разполагането на хибридна защита на данни, всички потребители губят достъп до съдържание в местата, които са създадени от пилотните потребители. Загубата става видима веднага щом приложенията на потребителите опреснят кешираните си копия на съдържанието. |
Настройване на клъстер на хибридна защита на данни
Поток на задачи за разполагане на хибридна защита на данни
Преди да започнете
| 1 |
Извършване на първоначалната настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване. |
| 2 |
Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни. |
| 3 |
Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 6.5. Опцията може да не е налична в по-ранни версии. |
| 4 |
Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA. |
| 5 |
Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS. |
| 6 |
Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо. |
| 7 |
Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни. |
| 8 |
Създаване и регистриране на още възли Завършете настройката на клъстера. |
| 9 |
Изпълнение на пробен период и преминаване към производство (следваща глава) Докато не започнете пробен период, вашите възли генерират аларма, която показва, че услугата ви все още не е активирана. |
Изтегляне на инсталационните файлове
| 1 |
Влезте в https://admin.webex.com и щракнете върху Услуги. |
| 2 |
В раздела „Хибридни услуги“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Ако картата е деактивирана или не я виждате, се свържете с екипа за вашия акаунт или с партньорската си организация. Дайте им номера на акаунта си и помолете организацията ви да активира за хибридна защита на данните. За да намерите номера на акаунта, щракнете върху зъбното колело горе вдясно до името на вашата организация. Можете също да изтеглите OVA по всяко време от раздела Помощ на страницата Настройки . На картата на хибридна защита на данни щракнете върху Редактиране на настройките , за да отворите страницата. След това щракнете върху Изтегляне на софтуера за хибридна защита на данни в раздела Помощ . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. |
| 3 |
Изберете Не , за да посочите, че все още не сте настроили възела, след което щракнете върху Напред. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
|
| 4 |
Като опция щракнете върху Отваряне на ръководство за разполагане , за да проверите дали има налична по-нова версия на това ръководство. |
Създаване на конфигурационен ISO за хостовете на HDS
Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT -
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
-
Идентификационни данни за базата данни
-
Актуализации на сертификата
-
Промени в правилата за упълномощаване
-
-
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.
| 1 |
В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: В среди на FedRAMP: Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. | ||||||||||
| 2 |
За да влезете в регистъра на изображения на Docker, въведете следното: | ||||||||||
| 3 |
При подканата за парола въведете този хеш: | ||||||||||
| 4 |
Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: В среди на FedRAMP: | ||||||||||
| 5 |
Когато изтеглянето приключи, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“. | ||||||||||
| 6 |
Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете в локалния организатор, Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане. | ||||||||||
| 7 |
Когато бъдете подканени, въведете идентификационните си данни за вход на администратор на клиенти в Control Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни. | ||||||||||
| 8 |
На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки. | ||||||||||
| 9 |
На страницата Импортиране на ISO имате следните опции:
| ||||||||||
| 10 |
Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.
| ||||||||||
| 11 |
Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore: | ||||||||||
| 12 |
Изберете режим на свързване с база данни TLS:
Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.) | ||||||||||
| 13 |
На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd: | ||||||||||
| 14 |
(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените: | ||||||||||
| 15 |
Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги . Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files. | ||||||||||
| 16 |
Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място. | ||||||||||
| 17 |
Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията. | ||||||||||
| 18 |
За да затворите инструмента за настройка, напишете |
Какво да направите след това
Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.
Инсталиране на HDS Host OVA
| 1 |
Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi. |
| 2 |
Изберете Файл > Разполагане на OVF шаблон. |
| 3 |
В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред. |
| 4 |
На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред. |
| 5 |
На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона. |
| 6 |
Проверете подробностите за шаблона и след това щракнете върху Напред. |
| 7 |
Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред. |
| 8 |
На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM. |
| 9 |
На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM. |
| 10 |
На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 6.5. Опцията може да не е налична в по-ранни версии. |
| 11 |
Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете. |
Настройване на VM на хибридна защита на данни
Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.
| 1 |
В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
|
| 2 |
Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора. |
| 3 |
Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията . |
| 4 |
Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 |
(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. |
| 6 |
Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените. |
Качване и монтиране на конфигурация ISO на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.
| 1 |
Качете ISO файла от компютъра си: |
| 2 |
Монтиране на ISO файла: |
Какво да направите след това
Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.
Конфигуриране на HDS възел за интегриране на прокси сървър
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.
Преди да започнете
| 1 |
Въведете URL адреса за настройка на HDS възел |
| 2 |
Отидете на Хранилище на доверие & Прокси , след което изберетеопция:
Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси. |
| 3 |
Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла. |
| 4 |
Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS. |
| 5 |
След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила. |
| 6 |
Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути. |
| 7 |
След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси. |
Регистриране на първия възел в клъстера
Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.
Преди да започнете
-
След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
-
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.
| 1 |
Влезте в https://admin.webex.com. |
| 2 |
От менюто от лявата страна на екрана изберете Услуги. |
| 3 |
В раздела „Хибридни услуги“ намерете „Хибридна защита на данни“ и щракнете върху Настройка. Показва се страницата с възел на хибридна защита на данни за регистриране.
|
| 4 |
Изберете Да , за да посочите, че сте настроили възела и сте готови да го регистрирате, след което щракнете върху Напред. |
| 5 |
В първото поле въведете име за клъстера, към който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“ |
| 6 |
Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Напред. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
|
| 7 |
Щракнете върху Към възел. |
| 8 |
Щракнете върху Продължи в предупредителното съобщение. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
|
| 9 |
Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
|
| 10 |
Щракнете върху връзката или затворете раздела, за да се върнете към страницата на хибридна защита на данни в Control Hub. На страницата Хибридна защита на данни се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създаване и регистриране на още възли
По това време резервните VM, които сте създали в Изпълнение на изискванията за хибридна защита на данните , са хостове в режим на готовност, които се използват само в случай на възстановяване след бедствие; те до тогава не са регистрирани в системата. За подробности вижте Възстановяване след бедствие с използване на Standby Data Center.
Преди да започнете
-
След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
-
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.
| 1 |
Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA. |
| 2 |
Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM. |
| 3 |
На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS. |
| 4 |
Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел. |
| 5 |
Регистрирайте възела. Възелът ви е регистриран. Имайте предвид, че докато не започнете пробен период, вашите възли генерират аларма, която показва, че услугата ви все още не е активирана.
|
Какво да направите след това
Изпълнение на пробен период и преминаване към производство
Пробен в производствен поток на задачи
След като настроите клъстер на хибридна защита на данни, можете да стартирате пилотен проект, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 |
Ако е приложимо, синхронизирайте груповия обект Ако вашата организация използва синхронизиране на указатели за потребители, трябва да изберете групов обект |
| 2 |
Започнете пробен период. Докато не изпълните тази задача, вашите възли генерират аларма, която показва, че услугата все още не е активирана. |
| 3 |
Тестване на вашето разполагане на хибридна защита на данни Проверете дали ключови заявки преминават към вашето разполагане на хибридна защита на данни. |
| 4 |
Наблюдение на изправността на хибридна защита на данни Проверете статуса и настройте известия по имейл за алармите. |
| 5 |
Добавяне или премахване на потребители от вашия пробен период |
| 6 |
Завършете пробната фаза с едно от следните действия: |
Активиране на пробен период
Преди да започнете
Ако вашата организация използва синхронизиране на указатели за потребители, трябва да изберете групов обект HdsTrialGroup за синхронизиране с облака, преди да можете да започнете пробен период за вашата организация. За инструкции вижте Ръководство за разполагане на Cisco Directory Connector.
| 1 |
Влезте в https://admin.webex.comи изберете Услуги. |
| 2 |
Под Хибридна защита на данни щракнете върху Настройки. |
| 3 |
В раздела „Статус на услугата“ щракнете върху Започване на пробен период. Статусът на услугата се променя на пробен режим.
|
| 4 |
Щракнете върху Добавяне на потребители и въведете имейл адреса на един или повече потребители, за да пилотирате използването на вашите възли на хибридна защита на данни за услуги за шифроване и индексиране. (Ако вашата организация използва синхронизиране на указатели, използвайте Active Directory, за да управлявате пробната група, |
Тестване на вашето разполагане на хибридна защита на данни
Преди да започнете
-
Настройте своето разполагане на хибридна защита на данни.
-
Активирайте пробния период и добавете няколко пробни потребители.
-
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни.
| 1 |
Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от пилотните потребители и след това създайте място и поканете поне един пилотен потребител и един непилотен потребител. Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават пилотни потребители, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване. |
| 2 |
Изпратете съобщения до новото място. |
| 3 |
Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни. |
Наблюдение на изправността на хибридна защита на данни
| 1 |
В Control Hub изберете Услуги от менюто от лявата страна на екрана. |
| 2 |
В раздела „Хибридни услуги“ намерете „Хибридна защита на данни“ и щракнете върху Настройки. Показва се страницата с настройки за хибридна защита на данни.
|
| 3 |
В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter. |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробния период, клиентът на потребителя ще поиска ключове и създаване на ключове от облака KMS вместо вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, KMS в облака ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на указатели, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 |
Влезте в Control Hub, след което изберете Услуги. |
| 2 |
Под Хибридна защита на данни щракнете върху Настройки. |
| 3 |
В раздела „Пробен режим“ на областта „Статус на услугата“ щракнете върху Добавяне на потребители или щракнете върху Преглед и редактиране , за да премахнете потребители от пробния период. |
| 4 |
Въведете имейл адреса на един или повече потребители за добавяне, или щракнете върху X от ИД на потребител, за да премахнете потребителя от пробния период. След това щракнете върху Запиши. |
Преминаване от изпробване към производство
| 1 |
Влезте в Control Hub, след което изберете Услуги. |
| 2 |
Под Хибридна защита на данни щракнете върху Настройки. |
| 3 |
В секцията „Статус на услугата“ щракнете върху Преместване в производство. |
| 4 |
Потвърдете, че искате да преместите всички ваши потребители в производство. |
Прекратете пробния си период, без да се премествате в производство
| 1 |
Влезте в Control Hub, след което изберете Услуги. |
| 2 |
Под Хибридна защита на данни щракнете върху Настройки. |
| 3 |
В раздела Деактивиране щракнете върху Деактивиране. |
| 4 |
Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на вашето разполагане на HDS
Управление на разполагането на HDS
Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.
Задаване на график за надстройване на клъстери
За да зададете графика за надстройване:
| 1 |
Влезте в Control Hub. |
| 2 |
На страницата за общ преглед под хибридни услуги изберете Хибридна защита на данните. |
| 3 |
На страницата с ресурси за хибридна защита на данни изберете клъстера. |
| 4 |
В панела „Общ преглед“ вдясно, под „Настройки на клъстера“ изберете името на клъстера. |
| 5 |
На страницата „Настройки“ под „Надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи. |
Промяна на конфигурацията на възела
-
Промяна на x.509 сертификати поради изтичане или други причини.
Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
-
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
-
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
-
Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
-
Твърдо нулиране – Старите пароли спират да работят незабавно.
Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT -
Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.
| 1 |
Използвайки Docker на локална машина, стартирайте HDS Setup Tool. |
| 2 |
Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. |
| 3 |
За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: |
| 4 |
Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключване на режим на блокирана външна DNS разделителна способност
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.
Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.
Преди да започнете
| 1 |
В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане. |
| 2 |
Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да . |
| 3 |
Отидете на страницата Хранилище на доверие & Прокси. |
| 4 |
Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не. |
Какво да направите след това
Премахване на възел
| 1 |
Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина. |
| 2 |
Премахване на възела: |
| 3 |
В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита. |
Възстановяване след бедствие с използване на центъра за данни в режим на готовност
Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:
Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS. |
| 2 |
След конфигурирането на сървъра Syslogd щракнете върху Разширени настройки |
| 3 |
На страницата Разширени настройки добавете конфигурацията по-долу или премахнете конфигурацията на
|
| 4 |
Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място. |
| 5 |
Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията. |
| 6 |
В левия навигационен екран на клиента VMware vSphere щракнете с десния бутон върху VM и щракнете върху Редактиране на настройките.. |
| 7 |
Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите. |
| 8 |
Включете възела на HDS и се уверете, че няма аларми поне 15 минути. |
| 9 |
Повторете процеса за всеки възел в центъра за данни в режим на готовност. Проверете изхода на syslog, за да потвърдите, че възлите на центъра за данни в режим на готовност не са в пасивен режим. „KMS, конфигурирани в пасивен режим“ не трябва да се показва в регистрационните файлове. |
Какво да направите след това
(По избор) Демонтиране на ISO след конфигуриране на HDS
Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.
Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 |
Затворете един от възлите си за HDS. |
| 2 |
В уреда vCenter Server изберете възела на HDS. |
| 3 |
Изберете и премахнете отметката от Datastore ISO файл. |
| 4 |
Включете възела на HDS и се уверете, че няма аларми поне 20 минути. |
| 5 |
Повторете за всеки HDS възел на смяна. |
Отстраняване на неизправности в хибридна защита на данни
Преглед на предупрежденията и отстраняване на неизправности
Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:
-
Не могат да се създават нови места (не могат да се създадат нови ключове)
-
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
-
Нови потребители, добавени към място (не могат да се извлекат ключове)
-
Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
-
-
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване
Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридна защита на данни, Control Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.
|
Предупреждение |
Действие |
|---|---|
|
Отказ на достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
|
Неуспешна връзка с локалната база данни. |
Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела. |
|
Неуспешен достъп до услугата в облака. |
Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност. |
|
Подновяване на регистрацията за услуги в облака. |
Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията. |
|
Регистрацията на услуги в облака е прекъсната. |
Регистрирането в облачни услуги е прекратено. Услугата се затваря. |
|
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производство. |
|
Конфигурираният домейн не съответства на сертификата на сървъра. |
Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка. |
|
Неуспешно удостоверяване в услугите в облака. |
Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата. |
|
Неуспешно отваряне на локалния файл на клавиатурата. |
Проверете за целостта и точността на паролата във файла с локалния клавиатура. |
|
Сертификатът за локален сървър е невалиден. |
Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган. |
|
Неуспешно публикуване на метриките. |
Проверете достъпа до локалната мрежа до външни облачни услуги. |
|
Директорията /media/configdrive/hds не съществува. |
Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно. |
Отстраняване на неизправности в хибридна защита на данни
| 1 |
Прегледайте Control Hub за предупреждения и коригирайте всички елементи, които намерите там. |
| 2 |
Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. |
| 3 |
Свържете се с поддръжката на Cisco. |
Други бележки
Известни проблеми с хибридната защита на данните
-
Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Control Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, вашите потребители на приложението Webex вече няма да могат да използват интервали в своя списък "Хора", създадени с ключове от вашия KMS. Това се отнася както за изпробване, така и за внедряване в производството. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
-
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час). Когато потребител стане член на изпробване на хибридна защита на данни, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато времето за изчакване изтече. Потребителят може също да излезе и да влезе отново в приложението Webex, за да актуализира местоположението, с което се свързва приложението за ключове за шифроване.
Същото поведение възниква, когато преместите изпробване в производство за организацията. Всички потребители, които не са пробни, със съществуващи ECDH връзки към предишните услуги за защита на данните ще продължат да използват тези услуги до предоговаряне на ECDH връзката (чрез изчакване или чрез излизане и обратно влизане).
Използване на OpenSSL за генериране на PKCS12 файл
Преди да започнете
-
OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
-
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
-
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
-
Създайте частен ключ.
-
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).
| 1 |
Когато получите сертификата на сървъра от вашия CA, запишете го като |
| 2 |
Показване на сертификата като текст и проверете подробностите.
|
| 3 |
Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен
|
| 4 |
Създайте .p12 файла с приятелското име
|
| 5 |
Проверете подробностите за сертификата на сървъра. |
Какво да направите след това
Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.
Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.
Трафик между възлите на HDS и облака
Изходящ трафик за събиране на метрики
Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.
Входящ трафик
Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:
-
Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
-
Надстройки до софтуера за възли
Конфигуриране на прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез сепия прокси
Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.
Калмята 4 и 5
Добавете on_unsupported_protocol директивата към squid.conf:
on_unsupported_protocol тунелСепия 3.5.27
Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички
