- Начало
- /
- Статия
В тази статияНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
 | Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
Дата | Направени промени | ||
|---|---|---|---|
20 октомври 2023 г |
| ||
07 август 2023 г |
| ||
23 май 2023 г |
| ||
06 декември 2022 г |
| ||
23 ноември 2022 г |
| ||
13 октомври 2021 г | Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
24 юни 2021 г | Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. | Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
24 февруари 2021 г | HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
2 февруари 2021 г | HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
11 януари 2021 г | Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
13 октомври 2020 г | Актуализиран Изтеглете инсталационни файлове . | ||
08 октомври 2020 г. | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
14 август 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
5 август 2020 г | Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
16 юни 2020 г | Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
4 юни 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
29 май 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
5 май 2020 г | Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
21 април 2020 г | Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
1 април 2020 г. | Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 4 февруари 2020 г | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 г | Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
8 ноември 2019 г | Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
6 септември 2019 г | Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| 20 август 2019 г | Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
24 януари 2019 г |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
31 юли 2018 г |
| ||
| 21 май 2018 г. | Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
2 ноември 2017 г |
| ||
18 август 2017 г | Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Прокси поддръжка
Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.
Възлите за защита на хибридните данни поддържат следните прокси опции:
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.
HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
Няма — не се изисква допълнително удостоверяване.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Достъпно, ако изберете HTTP или HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.
Достъпно само ако изберете HTTPS като прокси протокол.
Изисква да въведете потребителско име и парола на всеки възел.
Пример за хибридни възли за защита на данни и прокси
Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.
Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
Изискване | Подробности |
|---|---|
| По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
| Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации. |
| Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) | Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
PostgreSQL | Microsoft SQL Server |
|---|---|
Postgres JDBC драйвер 42.2.5 | SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
Приложение | Протокол | Порт | Упътване от ап | Дестинация |
|---|---|---|---|---|
Възли за хибридна защита на данните | TCP | 443 | Изходящ HTTPS и WSS |
|
Инструмент за настройка на HDS | TCP | 443 | Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
Регион | Общи URL адреси на хост за самоличност |
|---|---|
Северна и Южна Америка |
|
Европейски съюз |
|
Канада |
|
Изисквания за прокси сървър
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.
Прозрачен прокси — Cisco интернет Security Appliance (WSA).
Изрично прокси – Squid.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:
Няма удостоверяване с HTTP или HTTPS
Основно удостоверяване с HTTP или HTTPS
Дайджест удостоверяване само с HTTPS
За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.
Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към
wbx2.comиciscospark.comще реши проблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 | Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 | Изберете име на домейн за внедряването на HDS (например | ||
| 3 | Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 | Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 | За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 | Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 | Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 | Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 | Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 | Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 | Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 | Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 | Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 | Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 | Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 | Конфигурирайте HDS възел за прокси интеграция Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 | Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 | Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 | Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 | Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 | В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 | Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 | По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTКонфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
Данни за база данни
Актуализации на сертификата
Промени в политиката за оторизация
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 | В командния ред на вашата машина въведете подходящата команда за вашата среда: В редовна среда: В FedRAMP среди:
| ||||||||||||
| 2 | За да влизам в регистъра на изображенията на Docker, въведете следното: | ||||||||||||
| 3 | При подкана за парола въведете този хеш: | ||||||||||||
| 4 | Изтеглете най-новото стабилно изображение за вашата среда: В редовна среда: В FedRAMP среди: | ||||||||||||
| 5 | Когато изтеглянето завърши, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 | Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 | На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 | На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 | Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 | Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 | Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 | На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 | (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 | Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 | Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 | За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 | Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 | В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 | На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 | На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 | Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 | Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 | На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 | На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 | На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 | Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 | В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 | Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 | Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 | Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 | (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 | Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 | Качете ISO файла от вашия компютър: |
| 2 | Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигурирайте HDS възел за прокси интеграция
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.
Преди да започнете
Виж Прокси поддръжка за преглед на поддържаните прокси опции.
| 1 | Въведете URL за настройка на HDS възел |
| 2 | Отидете на Доверен магазин и прокси и след това изберете опция:
Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси. |
| 3 | Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра. Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла. |
| 4 | Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито. Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема. Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 | След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила. |
| 6 | Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов. Възелът се рестартира в рамките на няколко минути. |
| 7 | След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние. Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Влезте в https://admin.webex.com. |
| 2 | От менюто в лявата част на екрана изберете Услуги . |
| 3 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 | Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 | В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас" |
| 6 | Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 | Щракнете върху Отидете на Node . |
| 8 | Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 | Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 | Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 | Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 | Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 | На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 | Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 | Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 | Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 | Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 | Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 | Добавяне или премахване на потребители от вашия пробен период |
| 6 | Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 | Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 | Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
Настройте внедряването на хибридната защита на данните.
Активирайте пробната версия и добавете няколко пробни потребители.
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 | Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 | Изпращайте съобщения до новото пространство. | ||
| 3 | Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 | В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 | В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 | В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 | Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете . |
Преминете от пробна версия към производствена
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 | Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 | Влезте в Control Hub и след това изберете Услуги . |
| 2 | Под Hybrid Data Security щракнете върху Настройки . |
| 3 | В секцията Деактивиране щракнете Деактивирайте . |
| 4 | Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 | Влезте в Контролен център . |
| 2 | На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 | На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 | В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 | На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
Промяна на сертификати x.509 поради изтичане или други причини.
Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS прокси без удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP прокси с удостоверяване
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS прокси с удостоверяване
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTИмате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.
| 1 | Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.
| ||||||
| 2 | Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 | За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 | Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключете Blocked External DNS Resolution Mode
Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.
Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.
Преди да започнете
| 1 | В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте . |
| 2 | Отидете на Общ преглед (страницата по подразбиране). Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да . |
| 3 | Отидете до Доверен магазин и прокси страница. |
| 4 | Щракнете върху Проверете прокси връзката . Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не. |
Какво да направите след това
Премахване на възел
| 1 | Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 | Премахнете възела: |
| 3 | В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 | Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 | След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 | На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 | Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 | Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 | В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 | Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 | Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 | Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 | Изключете един от вашите HDS възли. |
| 2 | Във vCenter Server Appliance изберете HDS възела. |
| 3 | Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 | Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 | Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
Не могат да се създават нови пространства (не може да се създадат нови ключове)
Съобщенията и заглавията на пространството не могат да се дешифрират за:
Нови потребители, добавени към пространство (не могат да извлекат ключове)
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Предупреждения
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
Предупреждение | Действие |
|---|---|
Грешка при достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 | Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 | Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 | Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 | Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 | Покажете сертификата като текст и проверете подробностите.
|
| 3 | Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 | Създайте .p12 файла с приятелското име
|
| 5 | Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез Squid прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмари 4 и 5
Добавете on_unsupported_protocol директива за squid.conf:
on_unsupported_protocol tunnel allКалмари 3.5.27
Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allНова и променена информация
|
Дата |
Направени промени | ||
|---|---|---|---|
|
20 октомври 2023 г |
| ||
|
07 август 2023 г |
| ||
|
23 май 2023 г |
| ||
|
06 декември 2022 г |
| ||
|
23 ноември 2022 г |
| ||
|
13 октомври 2021 г. |
Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker . | ||
|
юни 24, 2021 |
Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности. | ||
| 30 април 2021 г. |
Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности. | ||
|
24 февруари 2021 |
HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности. | ||
|
Февруари 2, 2021 |
HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности. | ||
|
11 януари 2021 г |
Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете . | ||
|
13 октомври 2020 г |
Актуализиран Изтеглете инсталационни файлове . | ||
|
08 октомври 2020 г. |
Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди. | ||
|
14 август 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане. | ||
|
5 август 2020 г |
Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения. Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове. | ||
|
16 юни 2020 г |
Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub. | ||
|
4 юни 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете. | ||
|
29 май 2020 г |
Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения. | ||
|
5 май 2020 г |
Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5. | ||
|
21 април 2020 г |
Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI. | ||
|
1 април 2020 г. |
Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове. | ||
| 20 февруари 2020 г | Актуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS. | ||
| 14 февруари 2019 г. | Актуализиран Изисквания за прокси сървър . | ||
| 16 декември 2019 г. | Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър . | ||
| 19 ноември 2019 |
Добавена информация за Blocked External DNS Resolution Mode в следните раздели: | ||
|
8 ноември 2019 г |
Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това. Актуализирани съответно следните раздели:
| ||
|
6 септември 2019 г |
Добавен SQL Server Standard към Изисквания за сървър на база данни . | ||
| Август 29, 2019 | Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа. | ||
| Август 20, 2019 |
Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex . За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия. | ||
| 13 юни 2019 г | Актуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории. | ||
| 6 март 2019 г |
| ||
| Февруари 28, 2019 |
| ||
| 26 февруари 2019 г. |
| ||
|
Януари 24, 2019 |
| ||
| 5 ноември 2018 г |
| ||
| 19 октомври 2018 г |
| ||
|
31 юли 2018 г |
| ||
| 21 май 2018 г. |
Променена терминология, за да отрази ребрандирането на Cisco Spark:
| ||
| 11 април 2018 г |
| ||
| 22 февруари 2018 г |
| ||
| 15 февруари 2018 |
| ||
| 18 януари 2018 |
| ||
|
2 ноември 2017 г |
| ||
|
18 август 2017 г |
Публикувано за първи път |
Преглед на сигурността на хибридните данни
От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.
По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.
Архитектура на сферата на сигурността
Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.
За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.
В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:
-
Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
-
Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.
-
Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.
-
Шифрованото съобщение се съхранява в областта на съхранение.
Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.
Сътрудничество с други организации
Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.
Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.
Очаквания за внедряване на хибридна защита на данните
Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.
За да внедрите хибридна защита на данните, трябва да предоставите:
-
Сигурен център за данни в държава, която е a поддържано местоположение за плановете на Cisco Webex Teams .
-
Оборудването, софтуерът и достъпът до мрежата, описани в Подгответе вашата среда .
Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:
-
Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.
-
Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.
| Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS. |
Процес на настройка на високо ниво
Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:
Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.
Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.
-
Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.
-
Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.
Модел за внедряване на хибридна защита на данните
В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.
По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)
Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)
Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.
Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.
Ние поддържаме само един клъстер на организация.
Пробен режим за хибридна защита на данните
След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.
Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .
Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.
Център за данни в режим на готовност за възстановяване при бедствия
По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.
Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.
| Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни. |
Настройте център за данни в режим на готовност за възстановяване при бедствия
Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:
Преди да започнете
-
Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)
-
Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .
| ||
| 2 |
След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 |
На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.
| ||
| 4 |
Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 |
В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 |
Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 |
Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 |
Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
След конфигуриране пасивен режим в ISO файла и го запишете, можете да създадете друго копие на ISO файла без пасивен режим конфигурация и я запазете на сигурно място. Това копие на ISO файла без пасивен режим configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.
Поддръжка на прокси
Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.
Хибридните възли за защита на данните поддържат следните опции за прокси:
-
Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.
-
Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
-
Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
-
Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
-
Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.
-
Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.
-
Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:
-
HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
-
HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
-
-
Тип на удостоверяването — Изберете измежду следните типове удостоверяване:
-
Никаква — Не се изисква допълнително удостоверяване.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
-
Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
Предлага се само ако изберете HTTPS като протокол за прокси.
Изисква да въведете потребителското име и паролата на всеки възел.
-
-
Пример за хибридни данни сигурност възли и прокси
Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.
Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.
Изисквания за хибридна сигурност на данните
Изисквания за лиценз на Cisco Webex
За да внедрите хибридна защита на данните:
-
Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижhttps://www.cisco.com/go/pro-pack .)
Изисквания за работния плот на Docker
Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".
X.509 Изисквания за сертификат
верига за сертификати трябва да отговаря на следните изисквания:
|
Изискване |
Подробности |
|---|---|
|
По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs . |
|
CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. CN не трябва да съдържа * (уместен знак). CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN. След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване. |
|
Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки към KMS на други организации. |
|
Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS. |
Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.
Изисквания за виртуален хост
Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:
-
Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни
-
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.
Трябва да надстроите, ако имате по-ранна версия на ESXi.
-
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър
Изисквания за сървър на база данни
| Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни. |
Има две опции за сървър на база с данни. Изискванията за всеки са както следва:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта) |
Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC драйвер 42.2.5 |
SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ). |
Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server
Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:
-
HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
-
Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.
-
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).
-
Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .
Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.
Изисквания за външна свързаност
Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:
|
Приложение |
Протокол |
Порт |
Упътване от ап |
Дестинация |
|---|---|---|---|---|
|
Възли за хибридна защита на данните |
TCP |
443 |
Изходящ HTTPS и WSS |
|
|
Инструмент за настройка на HDS |
TCP |
443 |
Изходящ HTTPS |
|
| Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели. |
URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:
|
Регион |
Общи URL адреси на хост за самоличност |
|---|---|
|
Северна и Южна Америка |
|
|
Европейски съюз |
|
|
Канада |
|
Изисквания към прокси сървъра
-
Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
-
Прозрачен прокси-Уред за уеб защита cisco (WSA).
-
Изрична прокси-Сепия.
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на връзки с websocket (wss:). За да заобиколите този проблем, вж Конфигурирайте Squid прокси сървъри за хибридна защита на данните .
-
-
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
-
Без удостоверяване с HTTP или HTTPS
-
Базово удостоверяване с HTTP или HTTPS
-
Смилане на удостоверяване само с HTTPS
-
-
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
-
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
-
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към
wbx2.com и ciscospark.com ще решипроблема.
Изпълнете предпоставките за хибридна защита на данните
| 1 |
Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес. | ||
| 2 |
Изберете име на домейн за внедряването на HDS (например | ||
| 3 |
Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост . | ||
| 4 |
Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове. | ||
| 5 |
За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. | ||
| 6 |
Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514). | ||
| 7 |
Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.
Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда. | ||
| 8 |
Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност . | ||
| 9 |
Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея наhttp://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност . | ||
| 10 |
Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър . | ||
| 11 |
Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена
|
Поток на задачи за внедряване на хибридна защита на данните
Преди да започнете
| 1 |
Изтеглете инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късна употреба. | ||
| 2 |
Създайте ISO конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните. | ||
| 3 |
Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.
| ||
| 4 |
Настройте хибридната VM машина за защита на данните Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA. | ||
| 5 |
Качете и монтирайте ISO конфигурацията на HDS Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS. | ||
| 6 |
Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо. | ||
| 7 |
Регистрирайте първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните. | ||
| 8 |
Създайте и регистрирайте още възли Завършете настройката на клъстера. | ||
| 9 |
Изпълнете пробна версия и преминете към производство (следваща глава) Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана. |
Изтеглете инсталационни файлове
| 1 |
Влезте вhttps://admin.webex.com и след това щракнете Услуги . | ||||
| 2 |
В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте . Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.
| ||||
| 3 |
Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща . OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
| ||||
| 4 |
По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство. |
Създайте ISO конфигурация за HDS хостовете
Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://SERVER_ IP: PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://SERVER_ IP: PORTHTTP прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT -
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
-
Данни за база данни
-
Актуализации на сертификата
-
Промени в политиката за оторизация
-
-
Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.
| 1 |
В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: В среди на FedRAMP:
| ||||||||||||
| 2 |
За да влезете в регистъра на изображения на Docker, въведете следното: | ||||||||||||
| 3 |
При подканата за парола въведете този хеш: | ||||||||||||
| 4 |
Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: В среди на FedRAMP: | ||||||||||||
| 5 |
Когато изтеглянето приключи, въведете подходящата команда за вашата среда:
Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“. | ||||||||||||
| 6 |
Използвайте уеб браузър, за да отидете на локалния хост, Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход. | ||||||||||||
| 7 |
Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните. | ||||||||||||
| 8 |
На страницата за преглед на инструмента за настройка щракнете Започнете . | ||||||||||||
| 9 |
На ISO импортиране страница, имате следните опции:
| ||||||||||||
| 10 |
Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .
| ||||||||||||
| 11 |
Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни: | ||||||||||||
| 12 |
Изберете a TLS режим на връзка с база данни :
Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.) | ||||||||||||
| 13 |
На страницата System Logs конфигурирайте вашия Syslogd сървър: | ||||||||||||
| 14 |
(По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените: | ||||||||||||
| 15 |
Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран. Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове. | ||||||||||||
| 16 |
Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране. | ||||||||||||
| 17 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||||||||||||
| 18 |
За да изключите инструмента за настройка, въведете |
Какво да направите след това
Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.
| Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите. |
Инсталирайте HDS Host OVA
| 1 |
Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi. | ||||||
| 2 |
Изберете Файл > Внедряване на OVF шаблон . | ||||||
| 3 |
В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща . | ||||||
| 4 |
На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща . | ||||||
| 5 |
На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща . Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона. | ||||||
| 6 |
Проверете детайлите на шаблона и след това щракнете Следваща . | ||||||
| 7 |
Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща . | ||||||
| 8 |
На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM . | ||||||
| 9 |
На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM. | ||||||
| 10 |
На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:
Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.
| ||||||
| 11 |
Щракнете с десния бутон върху възела VM и след това изберете . Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам. |
Настройте хибридната VM машина за защита на данните
Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
| 1 |
В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел. VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
|
| 2 |
Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни: Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор. |
| 3 |
Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция. |
| 4 |
Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. |
| 5 |
(По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509. |
| 6 |
Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила. |
Качете и монтирайте ISO конфигурацията на HDS
Преди да започнете
Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.
| 1 |
Качете ISO файла от вашия компютър: |
| 2 |
Монтирайте ISO файла: |
Какво да направите след това
Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.
Конфигуриране на HDS възел за интегриране на прокси сървър
Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.
Преди да започнете
| 1 |
Въведете URL адреса за настройка на HDS възел |
| 2 |
Отидете на Хранилище на доверие & Прокси , след което изберетеопция:
Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси. |
| 3 |
Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла. |
| 4 |
Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode . |
| 5 |
След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила. |
| 6 |
Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути. |
| 7 |
След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси. |
Регистрирайте първия възел в клъстера
Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.
Преди да започнете
-
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
-
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 |
Влезте в https://admin.webex.com. |
| 2 |
От менюто в лявата част на екрана изберете Услуги . |
| 3 |
В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте . Появява се страницата Register Hybrid Data Security Node.
|
| 4 |
Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща . |
| 5 |
В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните. Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“ |
| 6 |
Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща . Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните . Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
|
| 7 |
Щракнете върху Отидете на Node . |
| 8 |
Щракнете върху Продължете в предупредително съобщение. След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
|
| 9 |
Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете . Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
|
| 10 |
Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub. На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.
|
Създайте и регистрирайте още възли
| По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност . |
Преди да започнете
-
След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.
-
Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.
| 1 |
Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA . |
| 2 |
Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните . |
| 3 |
На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS . |
| 4 |
Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел. |
| 5 |
Регистрирайте възела. Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.
|
Какво да направите след това
Поток на задачата от пробна и производствена
След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.
Преди да започнете
| 1 |
Ако е приложимо, синхронизирайте Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете |
| 2 |
Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана. |
| 3 |
Тествайте внедряването на вашата хибридна защита на данните Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните. |
| 4 |
Наблюдавайте здравето на хибридната защита на данните Проверете състоянието и настройвам известия по имейл за аларми. |
| 5 |
Добавяне или премахване на потребители от вашия пробен период |
| 6 |
Завършете пробната фаза с едно от следните действия: |
Активирайте пробна версия
Преди да започнете
Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.
| 1 |
Влезте вhttps://admin.webex.com и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Състояние на услугата щракнете Започнете пробна версия . Състоянието на услугата се променя на пробен режим.
|
| 4 |
Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране. (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, |
Тествайте внедряването на вашата хибридна защита на данните
Преди да започнете
-
Настройте внедряването на хибридната защита на данните.
-
Активирайте пробната версия и добавете няколко пробни потребители.
-
Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.
| 1 |
Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.
| ||
| 2 |
Изпращайте съобщения до новото пространство. | ||
| 3 |
Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните. |
Наблюдавайте здравето на хибридната защита на данните
| 1 |
В Контролен център , изберете Услуги от менюто в лявата част на екрана. |
| 2 |
В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки . Появява се страницата Настройки за защита на хибридните данни.
|
| 3 |
В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете . |
Добавяне или премахване на потребители от вашия пробен период
Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.
Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup ; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период. |
| 4 |
Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете върху Запиши. |
Преминете от пробна версия към производствена
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Състояние на услугата щракнете Преминете към Производство . |
| 4 |
Потвърдете, че искате да преместите всичките си потребители в производствения режим. |
Прекратете пробния си период, без да преминете към производство
| 1 |
Влезте в Control Hub и след това изберете Услуги . |
| 2 |
Под Hybrid Data Security щракнете върху Настройки . |
| 3 |
В секцията Деактивиране щракнете Деактивирайте . |
| 4 |
Потвърдете, че искате да деактивирате услугата и да прекратите пробния период. |
Управление на внедряването на HDS
Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.
Задайте график за надграждане на клъстер
За да зададете графика за надстройка:
| 1 |
Влезте в Control Hub. |
| 2 |
На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните . |
| 3 |
На страницата Ресурси за защита на хибридни данни изберете клъстера. |
| 4 |
В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера. |
| 5 |
На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка. Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете . |
Променете конфигурацията на възела
-
Промяна на x.509 сертификати поради изтичане или други причини.
Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
-
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.
Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
-
Създаване на нова конфигурация за подготовка на нов център за данни.
Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:
-
Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
-
Твърдо нулиране —Старите пароли спират да работят незабавно.
Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.
Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.
Преди да започнете
-
Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.
Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:
Описание
Променлива
HTTP прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://SERVER_ IP: PORTHTTPS прокси без удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://SERVER_ IP: PORTHTTP прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORTHTTPS прокси с удостоверяване
ГЛОБАЛЕН_ АГЕНТ_ HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP: PORT -
Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.
| 1 |
Използвайки Docker на локална машина, стартирайте HDS Setup Tool.
| ||||||
| 2 |
Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли . | ||||||
| 3 |
За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: | ||||||
| 4 |
Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация. |
Изключване на режим на блокирана външна DNS разделителна способност
Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.
Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.
Преди да започнете
| 1 |
В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане. |
| 2 |
Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да . |
| 3 |
Отидете на страницата Хранилище на доверие & Прокси. |
| 4 |
Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не. |
Какво да направите след това
Премахване на възел
| 1 |
Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина. |
| 2 |
Премахнете възела: |
| 3 |
В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .) Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност. |
Възстановяване при бедствия с помощта на Център за данни в режим на готовност
Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.
Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:
Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.
| 1 |
Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете . | ||
| 2 |
След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки | ||
| 3 |
На Разширени настройки страница, добавете конфигурацията по-долу или премахнете
| ||
| 4 |
Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране. | ||
| 5 |
Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията. | ||
| 6 |
В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. . | ||
| 7 |
Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.
| ||
| 8 |
Включете HDS възела и се уверете, че няма аларми за поне 15 минути. | ||
| 9 |
Повторете процеса за всеки възел в център за данни в режим на готовност.
|
Какво да направите след това
(По избор) Демонтирайте ISO след HDS конфигурация
Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.
Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.
Преди да започнете
Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.
| 1 |
Изключете един от вашите HDS възли. |
| 2 |
Във vCenter Server Appliance изберете HDS възела. |
| 3 |
Изберете и премахнете отметката ISO файл на хранилище за данни . |
| 4 |
Включете HDS възела и се уверете, че няма аларми за поне 20 минути. |
| 5 |
Повторете последователно за всеки HDS възел. |
Преглед на сигнали и отстраняване на неизправности
Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:
-
Не могат да се създават нови пространства (не може да се създадат нови ключове)
-
Съобщенията и заглавията на пространството не могат да се дешифрират за:
-
Нови потребители, добавени към пространство (не могат да извлекат ключове)
-
Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)
-
-
Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране
Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.
Сигнали
Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.
|
Предупреждение |
Действие |
|---|---|
|
Отказ на достъп до локална база данни. |
Проверете за грешки в базата данни или проблеми с локалната мрежа. |
|
неуспешна връзка с локална база данни. |
Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел. |
|
Грешка при достъп до облачна услуга. |
Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност . |
|
Подновяване на регистрацията на облачна услуга. |
Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход. |
|
Регистрацията на облачна услуга отпадна. |
Регистрацията в облачни услуги е прекратена. Услугата се изключва. |
|
Услугата все още не е активирана. |
Активирайте пробна версия или завършете преместването на пробната версия в производствен. |
|
Конфигурираният домейн не съответства на сертификат на сървъра. |
Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка. |
|
Удостоверяването на облачни услуги не бе успешно. |
Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга . |
|
Неуспешно отваряне на файл с локално хранилище за ключове. |
Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове. |
|
сертификат на сървъра е невалиден. |
Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати. |
|
Не може да се публикуват показатели. |
Проверете достъпа на локалната мрежа до външни облачни услуги. |
|
/media/configdrive/hds директорията не съществува. |
Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно. |
Отстраняване на проблеми със сигурността на хибридните данни
| 1 |
Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там. |
| 2 |
Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните. |
| 3 |
Контакт Поддръжка на Cisco . |
Известни проблеми за сигурността на хибридните данни
-
Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.
-
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.
Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).
Използвайте OpenSSL, за да генерирате PKCS12 файл
Преди да започнете
-
OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.
-
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.
-
Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.
-
Създайте частен ключ.
-
Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).
| 1 |
Когато получите сертификат на сървъра от вашия CA, запазете го като |
| 2 |
Покажете сертификата като текст и проверете подробностите.
|
| 3 |
Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен
|
| 4 |
Създайте .p12 файла с приятелското име
|
| 5 |
Проверете подробностите за сертификат на сървъра . |
Какво да направите след това
Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .
| Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече. |
Трафик между HDS възлите и облака
Изходящ трафик за събиране на показатели
Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.
Входящ трафик
Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :
-
Заявки за криптиране от клиенти, които се насочват от услугата за криптиране
-
Надстройки на софтуера на възела
Конфигурирайте Squid прокси сървъри за хибридна защита на данните
Websocket не може да се свърже чрез сепия прокси
Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss: ) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.
Калмята 4 и 5
Добаветеon_unsupported_protocol директива за squid.conf :
on_unsupported_protocol тунел всичкоСепия 3.5.27
Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.
acl wssMercuryConnection ssl::server_name_regex живачна връзкаssl_bump снаждане wssMercuryConnection acl step1at_step SslBump1 acl стъпка 2at_step SslBump2 acl стъпка 3at_step SslBump3ssl_bump погледнете стъпка 1 всичкиssl_bump гледайте стъпка 2 всичкиssl_bump bump step3 всички
