Možná jste si všimli, že některé články zobrazují obsah nekonzistentně. Omluvte drobný nepořádek, právě pracujeme na aktualizaci stránky.
cross icon
V tomto článku
dropdown icon
Předmluva
    Nové a změněné informace
    dropdown icon
    Začínáme se zabezpečením hybridních dat
      Přehled hybridního zabezpečení dat
        dropdown icon
        Architektura sféry zabezpečení
          Oblasti oddělení (bez zabezpečení hybridních dat)
        Spolupráce s jinými organizacemi
          Očekávání ohledně nasazení hybridního zabezpečení dat
            Proces nastavení na vysoké úrovni
              dropdown icon
              Model nasazení hybridního zabezpečení dat
                Model nasazení hybridního zabezpečení dat
              Zkušební režim hybridního zabezpečení dat
                dropdown icon
                Pohotovostní datové centrum pro zotavení po havárii
                  Nastavení datového centra pohotovostního režimu pro obnovení po havárii
                Podpora proxy serveru
                dropdown icon
                Připravte si prostředí
                  dropdown icon
                  Požadavky na zabezpečení hybridních dat
                    Licenční požadavky služby Cisco Webex
                    Požadavky na plochu docker
                    Požadavky na certifikát X.509
                    Požadavky virtuálního hostitele
                    Požadavky na databázový server
                    Požadavky na externí připojení
                    Požadavky na proxy server
                  Vyplňte předpoklady pro zabezpečení hybridních dat
                  dropdown icon
                  Nastavení hybridního datového bezpečnostního clusteru
                    Tok úloh nasazení hybridního zabezpečení dat
                      Stáhnout instalační soubory
                        Vytvoření ISO konfigurace pro hostitele HDS
                          Instalace HDS Host OVA
                            Nastavení hybridního virtuálního počítače zabezpečení dat
                              Nahrát a připojit ISO konfigurace HDS
                                Konfigurace uzlu HDS pro integraci proxy serveru
                                  Registrace prvního uzlu v clusteru
                                    Vytvoření a registrace dalších uzlů
                                    dropdown icon
                                    Spustit zkušební verzi a přejít do výroby
                                      Zkušební postup do výroby
                                        Aktivovat zkušební verzi
                                          Otestujte nasazení hybridního zabezpečení dat
                                            Monitorovat zdraví hybridního zabezpečení dat
                                              Přidání nebo odebrání uživatelů ze zkušební verze
                                                Přejít ze zkušební verze do výroby
                                                  Ukončete zkušební verzi bez přechodu do výroby
                                                  dropdown icon
                                                  Správa nasazení HDS
                                                    Spravovat nasazení HDS
                                                      Nastavit plán upgradu clusteru
                                                        Změna konfigurace uzlu
                                                          Vypnout blokovaný režim externího rozlišení DNS
                                                            Odebrat uzel
                                                              Zotavení po havárii pomocí pohotovostního datového centra
                                                                (Volitelně) Odpojit ISO po konfiguraci HDS
                                                                dropdown icon
                                                                Řešení potíží se zabezpečením hybridních dat
                                                                  Zobrazení upozornění a řešení potíží
                                                                    dropdown icon
                                                                    Výstrahy
                                                                      Společné problémy a kroky k jejich vyřešení
                                                                    Řešení potíží se zabezpečením hybridních dat
                                                                    dropdown icon
                                                                    Ostatní poznámky
                                                                      Známé problémy zabezpečení hybridních dat
                                                                        K vygenerování souboru PKCS12 použijte OpenSSL
                                                                          Provoz mezi uzly HDS a cloudem
                                                                            dropdown icon
                                                                            Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
                                                                              Websocket se nemůže připojit přes Squid Proxy
                                                                          V tomto článku
                                                                          cross icon
                                                                          dropdown icon
                                                                          Předmluva
                                                                            Nové a změněné informace
                                                                            dropdown icon
                                                                            Začínáme se zabezpečením hybridních dat
                                                                              Přehled hybridního zabezpečení dat
                                                                                dropdown icon
                                                                                Architektura sféry zabezpečení
                                                                                  Oblasti oddělení (bez zabezpečení hybridních dat)
                                                                                Spolupráce s jinými organizacemi
                                                                                  Očekávání ohledně nasazení hybridního zabezpečení dat
                                                                                    Proces nastavení na vysoké úrovni
                                                                                      dropdown icon
                                                                                      Model nasazení hybridního zabezpečení dat
                                                                                        Model nasazení hybridního zabezpečení dat
                                                                                      Zkušební režim hybridního zabezpečení dat
                                                                                        dropdown icon
                                                                                        Pohotovostní datové centrum pro zotavení po havárii
                                                                                          Nastavení datového centra pohotovostního režimu pro obnovení po havárii
                                                                                        Podpora proxy serveru
                                                                                        dropdown icon
                                                                                        Připravte si prostředí
                                                                                          dropdown icon
                                                                                          Požadavky na zabezpečení hybridních dat
                                                                                            Licenční požadavky služby Cisco Webex
                                                                                            Požadavky na plochu docker
                                                                                            Požadavky na certifikát X.509
                                                                                            Požadavky virtuálního hostitele
                                                                                            Požadavky na databázový server
                                                                                            Požadavky na externí připojení
                                                                                            Požadavky na proxy server
                                                                                          Vyplňte předpoklady pro zabezpečení hybridních dat
                                                                                          dropdown icon
                                                                                          Nastavení hybridního datového bezpečnostního clusteru
                                                                                            Tok úloh nasazení hybridního zabezpečení dat
                                                                                              Stáhnout instalační soubory
                                                                                                Vytvoření ISO konfigurace pro hostitele HDS
                                                                                                  Instalace HDS Host OVA
                                                                                                    Nastavení hybridního virtuálního počítače zabezpečení dat
                                                                                                      Nahrát a připojit ISO konfigurace HDS
                                                                                                        Konfigurace uzlu HDS pro integraci proxy serveru
                                                                                                          Registrace prvního uzlu v clusteru
                                                                                                            Vytvoření a registrace dalších uzlů
                                                                                                            dropdown icon
                                                                                                            Spustit zkušební verzi a přejít do výroby
                                                                                                              Zkušební postup do výroby
                                                                                                                Aktivovat zkušební verzi
                                                                                                                  Otestujte nasazení hybridního zabezpečení dat
                                                                                                                    Monitorovat zdraví hybridního zabezpečení dat
                                                                                                                      Přidání nebo odebrání uživatelů ze zkušební verze
                                                                                                                        Přejít ze zkušební verze do výroby
                                                                                                                          Ukončete zkušební verzi bez přechodu do výroby
                                                                                                                          dropdown icon
                                                                                                                          Správa nasazení HDS
                                                                                                                            Spravovat nasazení HDS
                                                                                                                              Nastavit plán upgradu clusteru
                                                                                                                                Změna konfigurace uzlu
                                                                                                                                  Vypnout blokovaný režim externího rozlišení DNS
                                                                                                                                    Odebrat uzel
                                                                                                                                      Zotavení po havárii pomocí pohotovostního datového centra
                                                                                                                                        (Volitelně) Odpojit ISO po konfiguraci HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Řešení potíží se zabezpečením hybridních dat
                                                                                                                                          Zobrazení upozornění a řešení potíží
                                                                                                                                            dropdown icon
                                                                                                                                            Výstrahy
                                                                                                                                              Společné problémy a kroky k jejich vyřešení
                                                                                                                                            Řešení potíží se zabezpečením hybridních dat
                                                                                                                                            dropdown icon
                                                                                                                                            Ostatní poznámky
                                                                                                                                              Známé problémy zabezpečení hybridních dat
                                                                                                                                                K vygenerování souboru PKCS12 použijte OpenSSL
                                                                                                                                                  Provoz mezi uzly HDS a cloudem
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
                                                                                                                                                      Websocket se nemůže připojit přes Squid Proxy
                                                                                                                                                  Průvodce nasazením hybridního zabezpečení dat Webex
                                                                                                                                                  list-menuV tomto článku
                                                                                                                                                  Předmluva

                                                                                                                                                  Nové a změněné informace

                                                                                                                                                  Datum

                                                                                                                                                  Provedené změny

                                                                                                                                                  20. října 2023

                                                                                                                                                  07. srpna 2023

                                                                                                                                                  23. května 2023

                                                                                                                                                  06. prosince 2022

                                                                                                                                                  23. listopadu 2022

                                                                                                                                                  13. října 2021

                                                                                                                                                  Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

                                                                                                                                                  24. června 2021

                                                                                                                                                  Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 .

                                                                                                                                                  30. dubna 2021

                                                                                                                                                  Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

                                                                                                                                                  24. února 2021

                                                                                                                                                  Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2. února 2021

                                                                                                                                                  HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  11. ledna 2021

                                                                                                                                                  Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

                                                                                                                                                  13. října 2020

                                                                                                                                                  Aktualizováno Stáhnout instalační soubory.

                                                                                                                                                  8. října 2020

                                                                                                                                                  Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

                                                                                                                                                  14. srpna 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

                                                                                                                                                  5. srpna 2020

                                                                                                                                                  Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

                                                                                                                                                  Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

                                                                                                                                                  16. června 2020

                                                                                                                                                  Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

                                                                                                                                                  4. června 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

                                                                                                                                                  29. května 2020

                                                                                                                                                  Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

                                                                                                                                                  5. května 2020

                                                                                                                                                  Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

                                                                                                                                                  21. dubna 2020

                                                                                                                                                  Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

                                                                                                                                                  1. dubna 2020

                                                                                                                                                  Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

                                                                                                                                                  20. února 2020Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.
                                                                                                                                                  4. února 2020Byly aktualizovány požadavky na proxy server.
                                                                                                                                                  16. prosince 2019Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.
                                                                                                                                                  19. listopadu 2019

                                                                                                                                                  Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

                                                                                                                                                  8. listopadu 2019

                                                                                                                                                  Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

                                                                                                                                                  Byly odpovídajícím způsobem aktualizovány následující části:


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  6. září 2019

                                                                                                                                                  Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

                                                                                                                                                  29. srpna 2019Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci.
                                                                                                                                                  20. srpna 2019

                                                                                                                                                  Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

                                                                                                                                                  Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

                                                                                                                                                  13. června 2019Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů.
                                                                                                                                                  6. března 2019
                                                                                                                                                  28. února 2019
                                                                                                                                                  • Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

                                                                                                                                                  26. února 2019
                                                                                                                                                  • Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.

                                                                                                                                                  • Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

                                                                                                                                                  24. ledna 2019

                                                                                                                                                  • Hybridní zabezpečení dat nyní podporuje Microsoft SQL Server jako databázi. SQL Server Always On (Always On Failover Clusters a Always on Availability Groups) je podporován ovladači JDBC, které se používají v hybridním zabezpečení dat. Přidán obsah týkající se nasazení se serverem SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora serveru Microsoft SQL Server je určena pouze pro nová nasazení hybridního zabezpečení dat. V současné době nepodporujeme migraci dat ze serveru PostgreSQL na server Microsoft SQL Server v existujícím nasazení.

                                                                                                                                                  5. listopadu 2018
                                                                                                                                                  19. října 2018

                                                                                                                                                  31. července 2018

                                                                                                                                                  21. května 2018

                                                                                                                                                  Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

                                                                                                                                                  • Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.

                                                                                                                                                  • Aplikace Cisco Spark je nyní aplikací Webex.

                                                                                                                                                  • Cloud Cisco Collaboraton je nyní cloudem Webex.

                                                                                                                                                  11. dubna 2018
                                                                                                                                                  22. února 2018
                                                                                                                                                  15. února 2018
                                                                                                                                                  • V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

                                                                                                                                                  18. ledna 2018

                                                                                                                                                  2. listopadu 2017

                                                                                                                                                  • Objasněna synchronizace adresáře skupiny H .

                                                                                                                                                  • Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

                                                                                                                                                  18. srpna 2017

                                                                                                                                                  První publikováno

                                                                                                                                                  Začínáme se zabezpečením hybridních dat

                                                                                                                                                  Přehled hybridního zabezpečení dat

                                                                                                                                                  Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

                                                                                                                                                  Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.

                                                                                                                                                  Architektura sféry zabezpečení

                                                                                                                                                  Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

                                                                                                                                                  Oblasti oddělení (bez zabezpečení hybridních dat)

                                                                                                                                                  Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.

                                                                                                                                                  V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:

                                                                                                                                                  1. Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

                                                                                                                                                  2. Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.

                                                                                                                                                  3. Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.

                                                                                                                                                  4. Zašifrovaná zpráva je uložena v doméně úložiště.

                                                                                                                                                  Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.

                                                                                                                                                  Spolupráce s jinými organizacemi

                                                                                                                                                  Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.

                                                                                                                                                  Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.

                                                                                                                                                  Očekávání ohledně nasazení hybridního zabezpečení dat

                                                                                                                                                  Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

                                                                                                                                                  Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

                                                                                                                                                  Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:

                                                                                                                                                  • Spravujte zálohování a obnovu databáze a konfigurační ISO.

                                                                                                                                                  • Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

                                                                                                                                                  Proces nastavení na vysoké úrovni

                                                                                                                                                  Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

                                                                                                                                                  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.

                                                                                                                                                    V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.

                                                                                                                                                  • Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.

                                                                                                                                                  • Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.

                                                                                                                                                  Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)

                                                                                                                                                  Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.

                                                                                                                                                  Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.

                                                                                                                                                  Pro každou organizaci podporujeme pouze jeden cluster.

                                                                                                                                                  Zkušební režim hybridního zabezpečení dat

                                                                                                                                                  Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.

                                                                                                                                                  Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.

                                                                                                                                                  Pohotovostní datové centrum pro zotavení po havárii

                                                                                                                                                  Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ruční převzetí při selhání do datového centra v pohotovostním režimu

                                                                                                                                                  Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

                                                                                                                                                  Nastavení datového centra pohotovostního režimu pro obnovení po havárii

                                                                                                                                                  Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

                                                                                                                                                  Než začnete

                                                                                                                                                  • Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)

                                                                                                                                                  • Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Podpora proxy serverů

                                                                                                                                                  Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.

                                                                                                                                                  Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

                                                                                                                                                  • Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).

                                                                                                                                                  • Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:

                                                                                                                                                      • HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.

                                                                                                                                                      • HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                  Příklad hybridních datových bezpečnostních uzlů a proxy serveru

                                                                                                                                                  Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.

                                                                                                                                                  Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.

                                                                                                                                                  Připravte si prostředí

                                                                                                                                                  Požadavky na zabezpečení hybridních dat

                                                                                                                                                  Licenční požadavky služby Cisco Webex

                                                                                                                                                  Nasazení hybridního zabezpečení dat:

                                                                                                                                                  Požadavky na plochu docker

                                                                                                                                                  Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.

                                                                                                                                                  Požadavky na certifikát X.509

                                                                                                                                                  Řetězec certifikátů musí splňovat následující požadavky:

                                                                                                                                                  Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

                                                                                                                                                  Požadavek

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podepsáno důvěryhodnou certifikační autoritou (CA)

                                                                                                                                                  Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat

                                                                                                                                                  • Není zástupným certifikátem

                                                                                                                                                  Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

                                                                                                                                                  KN nesmí obsahovat znak * (zástupný znak).

                                                                                                                                                  Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN.

                                                                                                                                                  Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.

                                                                                                                                                  • Podpis bez SHA1

                                                                                                                                                  Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.

                                                                                                                                                  • Formátováno jako soubor PKCS č. 12 chráněný heslem

                                                                                                                                                  • Použít přátelský název kms-private-key pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.

                                                                                                                                                  Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL.

                                                                                                                                                  Po spuštění instalačního nástroje HDS budete muset zadat heslo.

                                                                                                                                                  Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

                                                                                                                                                  Požadavky virtuálního hostitele

                                                                                                                                                  Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

                                                                                                                                                  • Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru

                                                                                                                                                  • VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.


                                                                                                                                                     

                                                                                                                                                    Pokud máte starší verzi ESXi, musíte provést upgrade.

                                                                                                                                                  • Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

                                                                                                                                                  Požadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

                                                                                                                                                  Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

                                                                                                                                                  Tabulka 2. Požadavky na databázový server podle typu databáze

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

                                                                                                                                                  • Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovladač 42.2.5

                                                                                                                                                  SQL Server JDBC ovladač 4.6

                                                                                                                                                  Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

                                                                                                                                                  Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

                                                                                                                                                  Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:

                                                                                                                                                  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.

                                                                                                                                                  • Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

                                                                                                                                                  • Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).

                                                                                                                                                  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

                                                                                                                                                    Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

                                                                                                                                                  Požadavky na externí připojení

                                                                                                                                                  Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

                                                                                                                                                  Aplikace

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Směr z aplikace

                                                                                                                                                  Cíl

                                                                                                                                                  Uzly hybridního zabezpečení dat

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí HTTPS a WSS

                                                                                                                                                  • Servery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex

                                                                                                                                                  Nástroj pro nastavení HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Docker (rozcestník)


                                                                                                                                                   

                                                                                                                                                  Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22.

                                                                                                                                                  Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

                                                                                                                                                  Oblast

                                                                                                                                                  Hostitelé identity Common Identity

                                                                                                                                                  Jižní a Severní Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropská unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požadavky na proxy server

                                                                                                                                                  • Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

                                                                                                                                                  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

                                                                                                                                                    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Provést ověření pouze pomocí protokolu HTTPS

                                                                                                                                                  • Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.

                                                                                                                                                  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.

                                                                                                                                                  • Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

                                                                                                                                                  Vyplňte předpoklady pro zabezpečení hybridních dat

                                                                                                                                                  Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.
                                                                                                                                                  1

                                                                                                                                                  Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů.

                                                                                                                                                  2

                                                                                                                                                  Vyberte název domény pro nasazení HDS (například hds.company.com) a získat řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele.

                                                                                                                                                  4

                                                                                                                                                  Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru.

                                                                                                                                                  1. Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)

                                                                                                                                                  2. Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:

                                                                                                                                                    • název hostitele nebo IP adresa (hostitel) a port

                                                                                                                                                    • název databáze (dbname) pro ukládání klíčů

                                                                                                                                                    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

                                                                                                                                                  5

                                                                                                                                                  Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.


                                                                                                                                                   

                                                                                                                                                  Protože uzly hybridního zabezpečení dat ukládají klíče používané při šifrování a dešifrování obsahu, nebude-li zachováno operační nasazení, bude mít za následek NEVRATNOU ZTRÁTU tohoto obsahu.

                                                                                                                                                  Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání.

                                                                                                                                                  8

                                                                                                                                                  Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  9

                                                                                                                                                  Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker.

                                                                                                                                                  Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

                                                                                                                                                  10

                                                                                                                                                  Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem HdsTrialGroup a přidat uživatele pilota. Zkušební skupina může mít až 250 uživatelů. Soubor HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci je nutné objekt synchronizovat s cloudem. Chcete-li synchronizovat objekt skupiny, vyberte jej v konektoru adresáře Konfigurace > nabídka výběru objektu. (Podrobné pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.)


                                                                                                                                                   

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Při výběru pilotních uživatelů mějte na paměti, že pokud se rozhodnete trvale deaktivovat nasazení hybridního zabezpečení dat, všichni uživatelé ztratí přístup k obsahu v prostorech vytvořených pilotními uživateli. Ztráta se projeví, jakmile aplikace uživatelů obnoví kopie obsahu v mezipaměti.

                                                                                                                                                  Nastavení hybridního datového bezpečnostního clusteru

                                                                                                                                                  Tok úloh nasazení hybridního zabezpečení dat

                                                                                                                                                  1

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  Stáhněte soubor OVA do místního počítače pro pozdější použití.

                                                                                                                                                  2

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  4

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

                                                                                                                                                  7

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

                                                                                                                                                  8

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Dokončete nastavení klastru.

                                                                                                                                                  9

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)

                                                                                                                                                  Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  V této úloze si stáhnete soubor OVA do svého počítače (nikoli na servery, které jste nastavili jako hybridní datové bezpečnostní uzly). Tento soubor použijete později v instalačním procesu.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

                                                                                                                                                  Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.


                                                                                                                                                   

                                                                                                                                                  Příručku OVA si můžete také kdykoli stáhnout z části Nápověda na stránce Nastavení. Stránku otevřete na kartě zabezpečení hybridních dat kliknutím na možnost Upravit nastavení. Poté klikněte na možnost Stáhnout software Hybrid Data Security v části Nápověda.


                                                                                                                                                   

                                                                                                                                                  Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady hybridního zabezpečení dat. To může mít za následek problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

                                                                                                                                                  Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
                                                                                                                                                  4

                                                                                                                                                  Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:

                                                                                                                                                    • Pověření databáze

                                                                                                                                                    • Aktualizace certifikátu

                                                                                                                                                    • Změny autorizačních zásad

                                                                                                                                                  • Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

                                                                                                                                                  1

                                                                                                                                                  Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2

                                                                                                                                                  Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                  • V běžných prostředích bez serveru proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

                                                                                                                                                  Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

                                                                                                                                                  7

                                                                                                                                                  Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

                                                                                                                                                  8

                                                                                                                                                  Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

                                                                                                                                                  9

                                                                                                                                                  Na stránce Import ISO máte tyto možnosti:

                                                                                                                                                  • Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
                                                                                                                                                  • Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.
                                                                                                                                                  10

                                                                                                                                                  Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  • Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  11

                                                                                                                                                  Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

                                                                                                                                                  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

                                                                                                                                                    Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.

                                                                                                                                                  2. (pouze Microsoft SQL Server) Vyberte typ ověření:

                                                                                                                                                    • Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.

                                                                                                                                                    • Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.

                                                                                                                                                  3. Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

                                                                                                                                                    Příklad:
                                                                                                                                                    dbhost.example.org:1433 nebo 198.51.100.17:1433

                                                                                                                                                    Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

                                                                                                                                                    Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

                                                                                                                                                  4. Zadejte název databáze.

                                                                                                                                                  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

                                                                                                                                                  12

                                                                                                                                                  Vyberte režim připojení databáze TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Popis

                                                                                                                                                  Preferovat TLS (výchozí možnost)

                                                                                                                                                  Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

                                                                                                                                                  Vyžadovat TLS

                                                                                                                                                  Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  Vyžadovat TLS a podepisovatel certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nelze použít pro databáze SQL Server.

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  • Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

                                                                                                                                                  13

                                                                                                                                                  Na stránce Systémové protokoly nakonfigurujte server Syslogd:

                                                                                                                                                  1. Zadejte adresu URL serveru syslog.

                                                                                                                                                    Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

                                                                                                                                                    Příklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

                                                                                                                                                    Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.

                                                                                                                                                  3. V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP

                                                                                                                                                    • Nulový bajt -- \x00

                                                                                                                                                    • Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.

                                                                                                                                                  4. Klikněte na tlačítko Pokračovat.

                                                                                                                                                  14

                                                                                                                                                  (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

                                                                                                                                                  Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

                                                                                                                                                  16

                                                                                                                                                  Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

                                                                                                                                                  17

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému.

                                                                                                                                                  Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  18

                                                                                                                                                  Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Soubor > Nasazení šablony OVF.

                                                                                                                                                  3

                                                                                                                                                  V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

                                                                                                                                                  4

                                                                                                                                                  Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další.

                                                                                                                                                  5

                                                                                                                                                  Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

                                                                                                                                                  Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

                                                                                                                                                  6

                                                                                                                                                  Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

                                                                                                                                                  7

                                                                                                                                                  Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

                                                                                                                                                  8

                                                                                                                                                  Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

                                                                                                                                                  9

                                                                                                                                                  Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

                                                                                                                                                  10

                                                                                                                                                  Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

                                                                                                                                                  • Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                    • Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.

                                                                                                                                                    • Celková délka čísla FQDN nesmí překročit 64 znaků.

                                                                                                                                                  • Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

                                                                                                                                                     

                                                                                                                                                    Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  • Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
                                                                                                                                                  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
                                                                                                                                                  • Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
                                                                                                                                                  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.
                                                                                                                                                  • Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

                                                                                                                                                  Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  11

                                                                                                                                                  Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

                                                                                                                                                  Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

                                                                                                                                                  Tipy pro řešení potíží

                                                                                                                                                  Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit.

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola.

                                                                                                                                                  Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
                                                                                                                                                  2

                                                                                                                                                  K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo:

                                                                                                                                                  1. Přihlášení: admin

                                                                                                                                                  2. Heslo: cisco

                                                                                                                                                  Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.

                                                                                                                                                  3

                                                                                                                                                  Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  5

                                                                                                                                                  (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě.

                                                                                                                                                  Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  Než začnete

                                                                                                                                                  Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte soubor ISO z počítače:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

                                                                                                                                                  2. V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.

                                                                                                                                                  3. V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.

                                                                                                                                                  4. Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.

                                                                                                                                                  5. Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.

                                                                                                                                                  6. Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

                                                                                                                                                  2

                                                                                                                                                  Připojit soubor ISO:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  2. Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.

                                                                                                                                                  4. Zkontrolujte Připojeno a Připojit je zapnuto.

                                                                                                                                                  5. Uložte změny a restartujte virtuální počítač.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.

                                                                                                                                                  Než začnete

                                                                                                                                                  1

                                                                                                                                                  Zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:

                                                                                                                                                  • Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
                                                                                                                                                  • Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace:
                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        Dostupné pouze pro proxy servery HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                  Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy.

                                                                                                                                                  Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.

                                                                                                                                                  4

                                                                                                                                                  Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy.

                                                                                                                                                  Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.

                                                                                                                                                  5

                                                                                                                                                  Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.

                                                                                                                                                  6

                                                                                                                                                  Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni.

                                                                                                                                                  Uzel se restartuje během několika minut.

                                                                                                                                                  7

                                                                                                                                                  Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu.

                                                                                                                                                  Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Tato úloha vezme obecný uzel, který jste vytvořili v Nastavení hybridního zabezpečení dat virtuálního počítače, zaregistruje uzel v cloudu Webex a změní jej na uzel hybridního zabezpečení dat.

                                                                                                                                                  Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  3

                                                                                                                                                  V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit.

                                                                                                                                                  Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
                                                                                                                                                  4

                                                                                                                                                  Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.

                                                                                                                                                  5

                                                                                                                                                  V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

                                                                                                                                                  Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                  Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM.

                                                                                                                                                  Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikněte na možnost Přejít do uzlu.

                                                                                                                                                  8

                                                                                                                                                  Ve zprávě upozornění klikněte na možnost Pokračovat.

                                                                                                                                                  Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                  Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Chcete-li přidat další uzly do clusteru, jednoduše vytvoříte další VMS a připojíte stejný konfigurační soubor ISO a poté uzel zaregistrujete. Doporučujeme, abyste měli alespoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.

                                                                                                                                                  4

                                                                                                                                                  Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzel.

                                                                                                                                                  1. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  2. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje.

                                                                                                                                                    Zobrazí se stránka Zdroje hybridního zabezpečení dat.
                                                                                                                                                  3. Klikněte na možnost Přidat zdroj.

                                                                                                                                                  4. V prvním poli vyberte název stávajícího clusteru.

                                                                                                                                                  5. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                    Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex.
                                                                                                                                                  6. Klikněte na možnost Přejít do uzlu.

                                                                                                                                                    Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                    Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  8. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)
                                                                                                                                                  Spustit zkušební verzi a přejít do výroby

                                                                                                                                                  Zkušební postup do výroby

                                                                                                                                                  Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.

                                                                                                                                                  1

                                                                                                                                                  Pokud je to relevantní, synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  3

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  4

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.

                                                                                                                                                  5

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  6

                                                                                                                                                  Dokončete zkušební fázi jedním z následujících kroků:

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Než začnete

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Zahájit zkušební verzi.

                                                                                                                                                  Stav služby se změní na zkušební režim.
                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb.

                                                                                                                                                  (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nastavte nasazení hybridního zabezpečení dat.

                                                                                                                                                  • Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.

                                                                                                                                                  • Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.


                                                                                                                                                   

                                                                                                                                                  Pokud deaktivujete nasazení hybridního zabezpečení dat, obsah v prostorech vytvořených pilotními uživateli již nebude po výměně kopií šifrovacích klíčů uložených v mezipaměti klienta dostupný.

                                                                                                                                                  2

                                                                                                                                                  Odeslat zprávy do nového prostoru.

                                                                                                                                                  3

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1. Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu prostředku KMS (KRO), když je vytvořen prostor nebo jiný chráněný prostředek, filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Indikátor stavu v prostředí Control Hub vám ukáže, zda je vše v pořádku s nasazením hybridního zabezpečení dat. Chcete-li získat proaktivnější upozornění, zaregistrujte se k odběru e-mailových oznámení. Budete upozorněni, když dojde k alarmům ovlivňujícím službu nebo upgradu softwaru.
                                                                                                                                                  1

                                                                                                                                                  V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení.

                                                                                                                                                  Zobrazí se stránka Nastavení zabezpečení hybridních dat.
                                                                                                                                                  3

                                                                                                                                                  V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

                                                                                                                                                  Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.

                                                                                                                                                  4

                                                                                                                                                  Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

                                                                                                                                                  Přejít ze zkušební verze do výroby

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele, můžete přejít do výroby. Když přejdete do výroby, všichni uživatelé v organizaci budou používat vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Nemůžete se vrátit z výroby do zkušebního režimu, pokud službu deaktivujete v rámci obnovení po havárii. Opětovná aktivace služby vyžaduje nastavení nové zkušební verze.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Přesunout do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete přesunout všechny uživatele do výroby.

                                                                                                                                                  Ukončete zkušební verzi bez přechodu do výroby

                                                                                                                                                  Pokud se během zkušební verze rozhodnete nepokračovat v nasazení hybridního zabezpečení dat, můžete deaktivovat hybridní zabezpečení dat, čímž zkušební verzi ukončíte a přesunete uživatele zkušební verze zpět do služeb zabezpečení cloudových dat. Uživatelé zkušební verze ztratí přístup k datům, která byla během zkušební verze zašifrována.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Deaktivovat klikněte na možnost Deaktivovat.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

                                                                                                                                                  Správa nasazení HDS

                                                                                                                                                  Spravovat nasazení HDS

                                                                                                                                                  Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

                                                                                                                                                  Nastavit plán upgradu clusteru

                                                                                                                                                  Aktualizace softwaru pro zabezpečení hybridních dat se provádí automaticky na úrovni clusteru, což zajišťuje, že všechny uzly mají vždy stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu pro cluster. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 AM Daily United States: Amerika/Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

                                                                                                                                                  Nastavení plánu upgradu:

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k Centrum Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.

                                                                                                                                                  4

                                                                                                                                                  Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.

                                                                                                                                                  5

                                                                                                                                                  Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu.

                                                                                                                                                  Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

                                                                                                                                                  Změna konfigurace uzlu

                                                                                                                                                  Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:
                                                                                                                                                  • Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.


                                                                                                                                                     

                                                                                                                                                    Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

                                                                                                                                                  • Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

                                                                                                                                                  • Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

                                                                                                                                                  Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:

                                                                                                                                                  • Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.

                                                                                                                                                  • Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

                                                                                                                                                  Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

                                                                                                                                                  Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

                                                                                                                                                  1

                                                                                                                                                  Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

                                                                                                                                                  1. Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2. Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

                                                                                                                                                  5. Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                    • V běžných prostředích bez serveru proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžném prostředí s proxy serverem <UNK>:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6. Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  7. Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.

                                                                                                                                                  8. Importujte soubor ISO aktuální konfigurace.

                                                                                                                                                  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

                                                                                                                                                    Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

                                                                                                                                                  2

                                                                                                                                                  Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů.

                                                                                                                                                  1. Nainstalujte hostitelské zařízení OVA HDS.

                                                                                                                                                  2. Nastavte VM počítač HDS .

                                                                                                                                                  3. Připojte aktualizovaný konfigurační soubor.

                                                                                                                                                  4. Zaregistrujte nový uzel v centru Control Hub.

                                                                                                                                                  3

                                                                                                                                                  V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel:

                                                                                                                                                  1. Vypněte virtuální počítač.

                                                                                                                                                  2. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .

                                                                                                                                                  4. Zkontrolujte Připojit při zapnutí .

                                                                                                                                                  5. Uložte změny a zapněte virtuální počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

                                                                                                                                                  Vypnout blokovaný režim externího rozlišení DNS

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.

                                                                                                                                                  Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

                                                                                                                                                  Než začnete

                                                                                                                                                  Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
                                                                                                                                                  1

                                                                                                                                                  Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte na Přehled (výchozí stránka).

                                                                                                                                                  Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .

                                                                                                                                                  3

                                                                                                                                                  Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Zkontrolovat připojení proxy.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

                                                                                                                                                  Odebrat uzel

                                                                                                                                                  Tento postup použijte k odebrání uzlu hybridního zabezpečení dat z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k vašim bezpečnostním datům.
                                                                                                                                                  1

                                                                                                                                                  Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstranit uzel:

                                                                                                                                                  1. Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2. Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

                                                                                                                                                  3. Výběrem clusteru zobrazíte jeho panel Přehled.

                                                                                                                                                  4. Klikněte na možnost Otevřít seznam uzlů.

                                                                                                                                                  5. Na kartě Uzly vyberte uzel, který chcete odebrat.

                                                                                                                                                  6. Klepněte na tlačítko Akce > Zrušit registraci uzlu.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

                                                                                                                                                  Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

                                                                                                                                                  Zotavení po havárii pomocí pohotovostního datového centra

                                                                                                                                                  Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.

                                                                                                                                                  Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:

                                                                                                                                                  Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, umístěte pohotovostní datové centrum znovu do pasivního režimu podle kroků popsaných v nastavení pohotovostního datového centra pro zotavení po havárii.

                                                                                                                                                  (Volitelně) Odpojit ISO po konfiguraci HDS

                                                                                                                                                  Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.

                                                                                                                                                  Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.

                                                                                                                                                  Než začnete

                                                                                                                                                  Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

                                                                                                                                                  1

                                                                                                                                                  Vypněte jeden z vašich HDS uzlů.

                                                                                                                                                  2

                                                                                                                                                  Ve vCenter Server Appliance vyberte uzel HDS.

                                                                                                                                                  3

                                                                                                                                                  Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.

                                                                                                                                                  4

                                                                                                                                                  Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Opakujte postupně pro každý uzel HDS.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Zobrazení upozornění a řešení potíží

                                                                                                                                                  Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:

                                                                                                                                                  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

                                                                                                                                                  • Zprávy a názvy prostorů se nepodařilo dešifrovat pro:

                                                                                                                                                    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

                                                                                                                                                    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

                                                                                                                                                  • Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

                                                                                                                                                  Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

                                                                                                                                                  Výstrahy

                                                                                                                                                  Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.

                                                                                                                                                  Tabulka 1. Společné problémy a kroky k jejich vyřešení

                                                                                                                                                  Upozornění

                                                                                                                                                  Akce

                                                                                                                                                  Přístup k místní databázi selhal.

                                                                                                                                                  Zkontrolujte chyby databáze nebo problémy s místní sítí.

                                                                                                                                                  Připojení k místní databázi selhalo.

                                                                                                                                                  Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.

                                                                                                                                                  Přístup ke cloudové službě selhal.

                                                                                                                                                  Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  Obnovování registrace cloudových služeb.

                                                                                                                                                  Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.

                                                                                                                                                  Registrace cloudových služeb byla přerušena.

                                                                                                                                                  Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

                                                                                                                                                  Služba ještě nebyla aktivována.

                                                                                                                                                  Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.

                                                                                                                                                  Nakonfigurovaná doména neodpovídá certifikátu serveru.

                                                                                                                                                  Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby.

                                                                                                                                                  Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.

                                                                                                                                                  Ověření ke cloudovým službám se nezdařilo.

                                                                                                                                                  Zkontrolujte přesnost a případné vypršení pověření účtu služby.

                                                                                                                                                  Nepodařilo se otevřít místní soubor úložiště klíčů.

                                                                                                                                                  Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

                                                                                                                                                  Certifikát místního serveru je neplatný.

                                                                                                                                                  Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

                                                                                                                                                  Nelze odeslat metriky.

                                                                                                                                                  Zkontrolujte přístup k externím cloudovým službám v místní síti.

                                                                                                                                                  Adresář /media/configudrive/hds neexistuje.

                                                                                                                                                  Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.

                                                                                                                                                  2

                                                                                                                                                  Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Kontaktujte podporu společnosti Cisco.

                                                                                                                                                  Ostatní poznámky

                                                                                                                                                  Známé problémy zabezpečení hybridních dat

                                                                                                                                                  • Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.

                                                                                                                                                  • Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

                                                                                                                                                    Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

                                                                                                                                                  K vygenerování souboru PKCS12 použijte OpenSSL

                                                                                                                                                  Než začnete

                                                                                                                                                  • OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.

                                                                                                                                                  • Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.

                                                                                                                                                  • Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.

                                                                                                                                                  • Vytvořte soukromý klíč.

                                                                                                                                                  • Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazit certifikát jako text a ověřit podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvořte soubor .p12 s přátelským jménem kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Zkontrolujte podrobnosti o certifikátu serveru.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. friendlyName: kms-private-key.

                                                                                                                                                    Příklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

                                                                                                                                                  Provoz mezi uzly HDS a cloudem

                                                                                                                                                  Provoz kolekce odchozích metrik

                                                                                                                                                  Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).

                                                                                                                                                  Příchozí Provoz

                                                                                                                                                  Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

                                                                                                                                                  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

                                                                                                                                                  • Aktualizace softwaru uzlu

                                                                                                                                                  Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

                                                                                                                                                  Websocket se nemůže připojit prostřednictvím proxy serveru squid

                                                                                                                                                  Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.

                                                                                                                                                  Olihně 4 a 5

                                                                                                                                                  Přidat on_unsupported_protocol směrnice squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Oliheň 3.5.27

                                                                                                                                                  Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Předmluva

                                                                                                                                                  Nové a změněné informace

                                                                                                                                                  Datum

                                                                                                                                                  Provedené změny

                                                                                                                                                  20. října 2023

                                                                                                                                                  07. srpna 2023

                                                                                                                                                  23. května 2023

                                                                                                                                                  06. prosince 2022

                                                                                                                                                  23. listopadu 2022

                                                                                                                                                  13. října 2021

                                                                                                                                                  Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

                                                                                                                                                  24. června 2021

                                                                                                                                                  Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 .

                                                                                                                                                  30. dubna 2021

                                                                                                                                                  Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

                                                                                                                                                  24. února 2021

                                                                                                                                                  Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2. února 2021

                                                                                                                                                  HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  11. ledna 2021

                                                                                                                                                  Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

                                                                                                                                                  13. října 2020

                                                                                                                                                  Aktualizováno Stáhnout instalační soubory.

                                                                                                                                                  8. října 2020

                                                                                                                                                  Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

                                                                                                                                                  14. srpna 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

                                                                                                                                                  5. srpna 2020

                                                                                                                                                  Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

                                                                                                                                                  Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

                                                                                                                                                  16. června 2020

                                                                                                                                                  Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

                                                                                                                                                  4. června 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

                                                                                                                                                  29. května 2020

                                                                                                                                                  Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

                                                                                                                                                  5. května 2020

                                                                                                                                                  Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

                                                                                                                                                  21. dubna 2020

                                                                                                                                                  Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

                                                                                                                                                  1. dubna 2020

                                                                                                                                                  Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

                                                                                                                                                  20. února 2020Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.
                                                                                                                                                  4. února 2020Byly aktualizovány požadavky na proxy server.
                                                                                                                                                  16. prosince 2019Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.
                                                                                                                                                  19. listopadu 2019

                                                                                                                                                  Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

                                                                                                                                                  8. listopadu 2019

                                                                                                                                                  Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

                                                                                                                                                  Byly odpovídajícím způsobem aktualizovány následující části:


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  6. září 2019

                                                                                                                                                  Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

                                                                                                                                                  29. srpna 2019Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci.
                                                                                                                                                  20. srpna 2019

                                                                                                                                                  Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

                                                                                                                                                  Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

                                                                                                                                                  13. června 2019Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů.
                                                                                                                                                  6. března 2019
                                                                                                                                                  28. února 2019
                                                                                                                                                  • Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

                                                                                                                                                  26. února 2019
                                                                                                                                                  • Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.

                                                                                                                                                  • Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

                                                                                                                                                  24. ledna 2019

                                                                                                                                                  • Hybridní zabezpečení dat nyní podporuje Microsoft SQL Server jako databázi. SQL Server Always On (Always On Failover Clusters a Always on Availability Groups) je podporován ovladači JDBC, které se používají v hybridním zabezpečení dat. Přidán obsah týkající se nasazení se serverem SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora serveru Microsoft SQL Server je určena pouze pro nová nasazení hybridního zabezpečení dat. V současné době nepodporujeme migraci dat ze serveru PostgreSQL na server Microsoft SQL Server v existujícím nasazení.

                                                                                                                                                  5. listopadu 2018
                                                                                                                                                  19. října 2018

                                                                                                                                                  31. července 2018

                                                                                                                                                  21. května 2018

                                                                                                                                                  Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

                                                                                                                                                  • Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.

                                                                                                                                                  • Aplikace Cisco Spark je nyní aplikací Webex.

                                                                                                                                                  • Cloud Cisco Collaboraton je nyní cloudem Webex.

                                                                                                                                                  11. dubna 2018
                                                                                                                                                  22. února 2018
                                                                                                                                                  15. února 2018
                                                                                                                                                  • V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

                                                                                                                                                  18. ledna 2018

                                                                                                                                                  2. listopadu 2017

                                                                                                                                                  • Objasněna synchronizace adresáře skupiny H .

                                                                                                                                                  • Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

                                                                                                                                                  18. srpna 2017

                                                                                                                                                  První publikováno

                                                                                                                                                  Začínáme se zabezpečením hybridních dat

                                                                                                                                                  Přehled hybridního zabezpečení dat

                                                                                                                                                  Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

                                                                                                                                                  Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.

                                                                                                                                                  Architektura sféry zabezpečení

                                                                                                                                                  Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

                                                                                                                                                  Oblasti oddělení (bez zabezpečení hybridních dat)

                                                                                                                                                  Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.

                                                                                                                                                  V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:

                                                                                                                                                  1. Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

                                                                                                                                                  2. Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.

                                                                                                                                                  3. Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.

                                                                                                                                                  4. Zašifrovaná zpráva je uložena v doméně úložiště.

                                                                                                                                                  Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.

                                                                                                                                                  Spolupráce s jinými organizacemi

                                                                                                                                                  Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.

                                                                                                                                                  Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.

                                                                                                                                                  Očekávání ohledně nasazení hybridního zabezpečení dat

                                                                                                                                                  Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

                                                                                                                                                  Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

                                                                                                                                                  Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:

                                                                                                                                                  • Spravujte zálohování a obnovu databáze a konfigurační ISO.

                                                                                                                                                  • Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

                                                                                                                                                  Proces nastavení na vysoké úrovni

                                                                                                                                                  Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

                                                                                                                                                  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.

                                                                                                                                                    V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.

                                                                                                                                                  • Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.

                                                                                                                                                  • Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.

                                                                                                                                                  Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)

                                                                                                                                                  Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.

                                                                                                                                                  Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.

                                                                                                                                                  Pro každou organizaci podporujeme pouze jeden cluster.

                                                                                                                                                  Zkušební režim hybridního zabezpečení dat

                                                                                                                                                  Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.

                                                                                                                                                  Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.

                                                                                                                                                  Pohotovostní datové centrum pro zotavení po havárii

                                                                                                                                                  Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ruční převzetí při selhání do datového centra v pohotovostním režimu

                                                                                                                                                  Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

                                                                                                                                                  Nastavení datového centra pohotovostního režimu pro obnovení po havárii

                                                                                                                                                  Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

                                                                                                                                                  Než začnete

                                                                                                                                                  • Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)

                                                                                                                                                  • Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Podpora proxy serverů

                                                                                                                                                  Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.

                                                                                                                                                  Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

                                                                                                                                                  • Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).

                                                                                                                                                  • Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:

                                                                                                                                                      • HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.

                                                                                                                                                      • HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                  Příklad hybridních datových bezpečnostních uzlů a proxy serveru

                                                                                                                                                  Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.

                                                                                                                                                  Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.

                                                                                                                                                  Připravte si prostředí

                                                                                                                                                  Požadavky na zabezpečení hybridních dat

                                                                                                                                                  Licenční požadavky služby Cisco Webex

                                                                                                                                                  Nasazení hybridního zabezpečení dat:

                                                                                                                                                  Požadavky na plochu docker

                                                                                                                                                  Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.

                                                                                                                                                  Požadavky na certifikát X.509

                                                                                                                                                  Řetězec certifikátů musí splňovat následující požadavky:

                                                                                                                                                  Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

                                                                                                                                                  Požadavek

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podepsáno důvěryhodnou certifikační autoritou (CA)

                                                                                                                                                  Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat

                                                                                                                                                  • Není zástupným certifikátem

                                                                                                                                                  Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

                                                                                                                                                  KN nesmí obsahovat znak * (zástupný znak).

                                                                                                                                                  Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN.

                                                                                                                                                  Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.

                                                                                                                                                  • Podpis bez SHA1

                                                                                                                                                  Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.

                                                                                                                                                  • Formátováno jako soubor PKCS č. 12 chráněný heslem

                                                                                                                                                  • Použít přátelský název kms-private-key pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.

                                                                                                                                                  Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL.

                                                                                                                                                  Po spuštění instalačního nástroje HDS budete muset zadat heslo.

                                                                                                                                                  Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

                                                                                                                                                  Požadavky virtuálního hostitele

                                                                                                                                                  Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

                                                                                                                                                  • Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru

                                                                                                                                                  • VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.


                                                                                                                                                     

                                                                                                                                                    Pokud máte starší verzi ESXi, musíte provést upgrade.

                                                                                                                                                  • Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

                                                                                                                                                  Požadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

                                                                                                                                                  Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

                                                                                                                                                  Tabulka 2. Požadavky na databázový server podle typu databáze

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

                                                                                                                                                  • Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovladač 42.2.5

                                                                                                                                                  SQL Server JDBC ovladač 4.6

                                                                                                                                                  Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

                                                                                                                                                  Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

                                                                                                                                                  Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:

                                                                                                                                                  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.

                                                                                                                                                  • Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

                                                                                                                                                  • Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).

                                                                                                                                                  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

                                                                                                                                                    Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

                                                                                                                                                  Požadavky na externí připojení

                                                                                                                                                  Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

                                                                                                                                                  Aplikace

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Směr z aplikace

                                                                                                                                                  Cíl

                                                                                                                                                  Uzly hybridního zabezpečení dat

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí HTTPS a WSS

                                                                                                                                                  • Servery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex

                                                                                                                                                  Nástroj pro nastavení HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Docker (rozcestník)


                                                                                                                                                   

                                                                                                                                                  Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22.

                                                                                                                                                  Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

                                                                                                                                                  Oblast

                                                                                                                                                  Hostitelé identity Common Identity

                                                                                                                                                  Jižní a Severní Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropská unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požadavky na proxy server

                                                                                                                                                  • Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

                                                                                                                                                  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

                                                                                                                                                    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Provést ověření pouze pomocí protokolu HTTPS

                                                                                                                                                  • Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.

                                                                                                                                                  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.

                                                                                                                                                  • Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

                                                                                                                                                  Vyplňte předpoklady pro zabezpečení hybridních dat

                                                                                                                                                  Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.
                                                                                                                                                  1

                                                                                                                                                  Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů.

                                                                                                                                                  2

                                                                                                                                                  Vyberte název domény pro nasazení HDS (například hds.company.com) a získat řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele.

                                                                                                                                                  4

                                                                                                                                                  Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru.

                                                                                                                                                  1. Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)

                                                                                                                                                  2. Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:

                                                                                                                                                    • název hostitele nebo IP adresa (hostitel) a port

                                                                                                                                                    • název databáze (dbname) pro ukládání klíčů

                                                                                                                                                    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

                                                                                                                                                  5

                                                                                                                                                  Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.


                                                                                                                                                   

                                                                                                                                                  Protože uzly hybridního zabezpečení dat ukládají klíče používané při šifrování a dešifrování obsahu, nebude-li zachováno operační nasazení, bude mít za následek NEVRATNOU ZTRÁTU tohoto obsahu.

                                                                                                                                                  Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání.

                                                                                                                                                  8

                                                                                                                                                  Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  9

                                                                                                                                                  Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker.

                                                                                                                                                  Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

                                                                                                                                                  10

                                                                                                                                                  Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem HdsTrialGroup a přidat uživatele pilota. Zkušební skupina může mít až 250 uživatelů. Soubor HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci je nutné objekt synchronizovat s cloudem. Chcete-li synchronizovat objekt skupiny, vyberte jej v konektoru adresáře Konfigurace > nabídka výběru objektu. (Podrobné pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.)


                                                                                                                                                   

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Při výběru pilotních uživatelů mějte na paměti, že pokud se rozhodnete trvale deaktivovat nasazení hybridního zabezpečení dat, všichni uživatelé ztratí přístup k obsahu v prostorech vytvořených pilotními uživateli. Ztráta se projeví, jakmile aplikace uživatelů obnoví kopie obsahu v mezipaměti.

                                                                                                                                                  Nastavení hybridního datového bezpečnostního clusteru

                                                                                                                                                  Tok úloh nasazení hybridního zabezpečení dat

                                                                                                                                                  1

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  Stáhněte soubor OVA do místního počítače pro pozdější použití.

                                                                                                                                                  2

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  4

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

                                                                                                                                                  7

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

                                                                                                                                                  8

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Dokončete nastavení klastru.

                                                                                                                                                  9

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)

                                                                                                                                                  Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  V této úloze si stáhnete soubor OVA do svého počítače (nikoli na servery, které jste nastavili jako hybridní datové bezpečnostní uzly). Tento soubor použijete později v instalačním procesu.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

                                                                                                                                                  Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.


                                                                                                                                                   

                                                                                                                                                  Příručku OVA si můžete také kdykoli stáhnout z části Nápověda na stránce Nastavení. Stránku otevřete na kartě zabezpečení hybridních dat kliknutím na možnost Upravit nastavení. Poté klikněte na možnost Stáhnout software Hybrid Data Security v části Nápověda.


                                                                                                                                                   

                                                                                                                                                  Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady hybridního zabezpečení dat. To může mít za následek problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

                                                                                                                                                  Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
                                                                                                                                                  4

                                                                                                                                                  Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:

                                                                                                                                                    • Pověření databáze

                                                                                                                                                    • Aktualizace certifikátu

                                                                                                                                                    • Změny autorizačních zásad

                                                                                                                                                  • Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

                                                                                                                                                  1

                                                                                                                                                  Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2

                                                                                                                                                  Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                  • V běžných prostředích bez serveru proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

                                                                                                                                                  Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

                                                                                                                                                  7

                                                                                                                                                  Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

                                                                                                                                                  8

                                                                                                                                                  Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

                                                                                                                                                  9

                                                                                                                                                  Na stránce Import ISO máte tyto možnosti:

                                                                                                                                                  • Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
                                                                                                                                                  • Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.
                                                                                                                                                  10

                                                                                                                                                  Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  • Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  11

                                                                                                                                                  Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

                                                                                                                                                  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

                                                                                                                                                    Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.

                                                                                                                                                  2. (pouze Microsoft SQL Server) Vyberte typ ověření:

                                                                                                                                                    • Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.

                                                                                                                                                    • Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.

                                                                                                                                                  3. Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

                                                                                                                                                    Příklad:
                                                                                                                                                    dbhost.example.org:1433 nebo 198.51.100.17:1433

                                                                                                                                                    Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

                                                                                                                                                    Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

                                                                                                                                                  4. Zadejte název databáze.

                                                                                                                                                  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

                                                                                                                                                  12

                                                                                                                                                  Vyberte režim připojení databáze TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Popis

                                                                                                                                                  Preferovat TLS (výchozí možnost)

                                                                                                                                                  Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

                                                                                                                                                  Vyžadovat TLS

                                                                                                                                                  Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  Vyžadovat TLS a podepisovatel certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nelze použít pro databáze SQL Server.

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  • Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

                                                                                                                                                  13

                                                                                                                                                  Na stránce Systémové protokoly nakonfigurujte server Syslogd:

                                                                                                                                                  1. Zadejte adresu URL serveru syslog.

                                                                                                                                                    Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

                                                                                                                                                    Příklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

                                                                                                                                                    Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.

                                                                                                                                                  3. V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP

                                                                                                                                                    • Nulový bajt -- \x00

                                                                                                                                                    • Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.

                                                                                                                                                  4. Klikněte na tlačítko Pokračovat.

                                                                                                                                                  14

                                                                                                                                                  (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

                                                                                                                                                  Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

                                                                                                                                                  16

                                                                                                                                                  Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

                                                                                                                                                  17

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému.

                                                                                                                                                  Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  18

                                                                                                                                                  Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Soubor > Nasazení šablony OVF.

                                                                                                                                                  3

                                                                                                                                                  V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

                                                                                                                                                  4

                                                                                                                                                  Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další.

                                                                                                                                                  5

                                                                                                                                                  Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

                                                                                                                                                  Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

                                                                                                                                                  6

                                                                                                                                                  Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

                                                                                                                                                  7

                                                                                                                                                  Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

                                                                                                                                                  8

                                                                                                                                                  Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

                                                                                                                                                  9

                                                                                                                                                  Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

                                                                                                                                                  10

                                                                                                                                                  Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

                                                                                                                                                  • Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                    • Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.

                                                                                                                                                    • Celková délka čísla FQDN nesmí překročit 64 znaků.

                                                                                                                                                  • Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

                                                                                                                                                     

                                                                                                                                                    Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  • Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
                                                                                                                                                  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
                                                                                                                                                  • Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
                                                                                                                                                  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.
                                                                                                                                                  • Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

                                                                                                                                                  Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  11

                                                                                                                                                  Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

                                                                                                                                                  Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

                                                                                                                                                  Tipy pro řešení potíží

                                                                                                                                                  Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit.

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola.

                                                                                                                                                  Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
                                                                                                                                                  2

                                                                                                                                                  K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo:

                                                                                                                                                  1. Přihlášení: admin

                                                                                                                                                  2. Heslo: cisco

                                                                                                                                                  Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.

                                                                                                                                                  3

                                                                                                                                                  Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  5

                                                                                                                                                  (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě.

                                                                                                                                                  Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  Než začnete

                                                                                                                                                  Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte soubor ISO z počítače:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

                                                                                                                                                  2. V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.

                                                                                                                                                  3. V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.

                                                                                                                                                  4. Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.

                                                                                                                                                  5. Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.

                                                                                                                                                  6. Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

                                                                                                                                                  2

                                                                                                                                                  Připojit soubor ISO:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  2. Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.

                                                                                                                                                  4. Zkontrolujte Připojeno a Připojit je zapnuto.

                                                                                                                                                  5. Uložte změny a restartujte virtuální počítač.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.

                                                                                                                                                  Než začnete

                                                                                                                                                  1

                                                                                                                                                  Zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:

                                                                                                                                                  • Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
                                                                                                                                                  • Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace:
                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        Dostupné pouze pro proxy servery HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                  Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy.

                                                                                                                                                  Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.

                                                                                                                                                  4

                                                                                                                                                  Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy.

                                                                                                                                                  Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.

                                                                                                                                                  5

                                                                                                                                                  Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.

                                                                                                                                                  6

                                                                                                                                                  Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni.

                                                                                                                                                  Uzel se restartuje během několika minut.

                                                                                                                                                  7

                                                                                                                                                  Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu.

                                                                                                                                                  Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Tato úloha vezme obecný uzel, který jste vytvořili v Nastavení hybridního zabezpečení dat virtuálního počítače, zaregistruje uzel v cloudu Webex a změní jej na uzel hybridního zabezpečení dat.

                                                                                                                                                  Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  3

                                                                                                                                                  V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit.

                                                                                                                                                  Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
                                                                                                                                                  4

                                                                                                                                                  Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.

                                                                                                                                                  5

                                                                                                                                                  V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

                                                                                                                                                  Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                  Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM.

                                                                                                                                                  Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikněte na možnost Přejít do uzlu.

                                                                                                                                                  8

                                                                                                                                                  Ve zprávě upozornění klikněte na možnost Pokračovat.

                                                                                                                                                  Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                  Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Chcete-li přidat další uzly do clusteru, jednoduše vytvoříte další VMS a připojíte stejný konfigurační soubor ISO a poté uzel zaregistrujete. Doporučujeme, abyste měli alespoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.

                                                                                                                                                  4

                                                                                                                                                  Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzel.

                                                                                                                                                  1. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  2. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje.

                                                                                                                                                    Zobrazí se stránka Zdroje hybridního zabezpečení dat.
                                                                                                                                                  3. Klikněte na možnost Přidat zdroj.

                                                                                                                                                  4. V prvním poli vyberte název stávajícího clusteru.

                                                                                                                                                  5. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                    Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex.
                                                                                                                                                  6. Klikněte na možnost Přejít do uzlu.

                                                                                                                                                    Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                    Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  8. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)
                                                                                                                                                  Spustit zkušební verzi a přejít do výroby

                                                                                                                                                  Zkušební postup do výroby

                                                                                                                                                  Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.

                                                                                                                                                  1

                                                                                                                                                  Pokud je to relevantní, synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  3

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  4

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.

                                                                                                                                                  5

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  6

                                                                                                                                                  Dokončete zkušební fázi jedním z následujících kroků:

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Než začnete

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Zahájit zkušební verzi.

                                                                                                                                                  Stav služby se změní na zkušební režim.
                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb.

                                                                                                                                                  (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nastavte nasazení hybridního zabezpečení dat.

                                                                                                                                                  • Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.

                                                                                                                                                  • Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.


                                                                                                                                                   

                                                                                                                                                  Pokud deaktivujete nasazení hybridního zabezpečení dat, obsah v prostorech vytvořených pilotními uživateli již nebude po výměně kopií šifrovacích klíčů uložených v mezipaměti klienta dostupný.

                                                                                                                                                  2

                                                                                                                                                  Odeslat zprávy do nového prostoru.

                                                                                                                                                  3

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1. Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu prostředku KMS (KRO), když je vytvořen prostor nebo jiný chráněný prostředek, filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Indikátor stavu v prostředí Control Hub vám ukáže, zda je vše v pořádku s nasazením hybridního zabezpečení dat. Chcete-li získat proaktivnější upozornění, zaregistrujte se k odběru e-mailových oznámení. Budete upozorněni, když dojde k alarmům ovlivňujícím službu nebo upgradu softwaru.
                                                                                                                                                  1

                                                                                                                                                  V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení.

                                                                                                                                                  Zobrazí se stránka Nastavení zabezpečení hybridních dat.
                                                                                                                                                  3

                                                                                                                                                  V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

                                                                                                                                                  Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.

                                                                                                                                                  4

                                                                                                                                                  Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

                                                                                                                                                  Přejít ze zkušební verze do výroby

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele, můžete přejít do výroby. Když přejdete do výroby, všichni uživatelé v organizaci budou používat vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Nemůžete se vrátit z výroby do zkušebního režimu, pokud službu deaktivujete v rámci obnovení po havárii. Opětovná aktivace služby vyžaduje nastavení nové zkušební verze.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Přesunout do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete přesunout všechny uživatele do výroby.

                                                                                                                                                  Ukončete zkušební verzi bez přechodu do výroby

                                                                                                                                                  Pokud se během zkušební verze rozhodnete nepokračovat v nasazení hybridního zabezpečení dat, můžete deaktivovat hybridní zabezpečení dat, čímž zkušební verzi ukončíte a přesunete uživatele zkušební verze zpět do služeb zabezpečení cloudových dat. Uživatelé zkušební verze ztratí přístup k datům, která byla během zkušební verze zašifrována.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Deaktivovat klikněte na možnost Deaktivovat.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

                                                                                                                                                  Správa nasazení HDS

                                                                                                                                                  Spravovat nasazení HDS

                                                                                                                                                  Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

                                                                                                                                                  Nastavit plán upgradu clusteru

                                                                                                                                                  Aktualizace softwaru pro zabezpečení hybridních dat se provádí automaticky na úrovni clusteru, což zajišťuje, že všechny uzly mají vždy stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu pro cluster. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 AM Daily United States: Amerika/Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

                                                                                                                                                  Nastavení plánu upgradu:

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k Centrum Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.

                                                                                                                                                  4

                                                                                                                                                  Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.

                                                                                                                                                  5

                                                                                                                                                  Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu.

                                                                                                                                                  Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

                                                                                                                                                  Změna konfigurace uzlu

                                                                                                                                                  Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:
                                                                                                                                                  • Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.


                                                                                                                                                     

                                                                                                                                                    Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

                                                                                                                                                  • Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

                                                                                                                                                  • Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

                                                                                                                                                  Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:

                                                                                                                                                  • Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.

                                                                                                                                                  • Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

                                                                                                                                                  Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

                                                                                                                                                  Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

                                                                                                                                                  1

                                                                                                                                                  Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

                                                                                                                                                  1. Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2. Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

                                                                                                                                                  5. Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                    • V běžných prostředích bez serveru proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžném prostředí s proxy serverem <UNK>:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6. Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  7. Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.

                                                                                                                                                  8. Importujte soubor ISO aktuální konfigurace.

                                                                                                                                                  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

                                                                                                                                                    Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

                                                                                                                                                  2

                                                                                                                                                  Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů.

                                                                                                                                                  1. Nainstalujte hostitelské zařízení OVA HDS.

                                                                                                                                                  2. Nastavte VM počítač HDS .

                                                                                                                                                  3. Připojte aktualizovaný konfigurační soubor.

                                                                                                                                                  4. Zaregistrujte nový uzel v centru Control Hub.

                                                                                                                                                  3

                                                                                                                                                  V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel:

                                                                                                                                                  1. Vypněte virtuální počítač.

                                                                                                                                                  2. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .

                                                                                                                                                  4. Zkontrolujte Připojit při zapnutí .

                                                                                                                                                  5. Uložte změny a zapněte virtuální počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

                                                                                                                                                  Vypnout blokovaný režim externího rozlišení DNS

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.

                                                                                                                                                  Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

                                                                                                                                                  Než začnete

                                                                                                                                                  Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
                                                                                                                                                  1

                                                                                                                                                  Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte na Přehled (výchozí stránka).

                                                                                                                                                  Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .

                                                                                                                                                  3

                                                                                                                                                  Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Zkontrolovat připojení proxy.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

                                                                                                                                                  Odebrat uzel

                                                                                                                                                  Tento postup použijte k odebrání uzlu hybridního zabezpečení dat z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k vašim bezpečnostním datům.
                                                                                                                                                  1

                                                                                                                                                  Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstranit uzel:

                                                                                                                                                  1. Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2. Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

                                                                                                                                                  3. Výběrem clusteru zobrazíte jeho panel Přehled.

                                                                                                                                                  4. Klikněte na možnost Otevřít seznam uzlů.

                                                                                                                                                  5. Na kartě Uzly vyberte uzel, který chcete odebrat.

                                                                                                                                                  6. Klepněte na tlačítko Akce > Zrušit registraci uzlu.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

                                                                                                                                                  Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

                                                                                                                                                  Zotavení po havárii pomocí pohotovostního datového centra

                                                                                                                                                  Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.

                                                                                                                                                  Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:

                                                                                                                                                  Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, umístěte pohotovostní datové centrum znovu do pasivního režimu podle kroků popsaných v nastavení pohotovostního datového centra pro zotavení po havárii.

                                                                                                                                                  (Volitelně) Odpojit ISO po konfiguraci HDS

                                                                                                                                                  Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.

                                                                                                                                                  Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.

                                                                                                                                                  Než začnete

                                                                                                                                                  Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

                                                                                                                                                  1

                                                                                                                                                  Vypněte jeden z vašich HDS uzlů.

                                                                                                                                                  2

                                                                                                                                                  Ve vCenter Server Appliance vyberte uzel HDS.

                                                                                                                                                  3

                                                                                                                                                  Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.

                                                                                                                                                  4

                                                                                                                                                  Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Opakujte postupně pro každý uzel HDS.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Zobrazení upozornění a řešení potíží

                                                                                                                                                  Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:

                                                                                                                                                  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

                                                                                                                                                  • Zprávy a názvy prostorů se nepodařilo dešifrovat pro:

                                                                                                                                                    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

                                                                                                                                                    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

                                                                                                                                                  • Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

                                                                                                                                                  Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

                                                                                                                                                  Výstrahy

                                                                                                                                                  Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.

                                                                                                                                                  Tabulka 1. Společné problémy a kroky k jejich vyřešení

                                                                                                                                                  Upozorňovat

                                                                                                                                                  Akce

                                                                                                                                                  Přístup k místní databázi selhal.

                                                                                                                                                  Zkontrolujte chyby databáze nebo problémy s místní sítí.

                                                                                                                                                  Připojení k místní databázi selhalo.

                                                                                                                                                  Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.

                                                                                                                                                  Přístup ke cloudové službě selhal.

                                                                                                                                                  Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  Obnovování registrace cloudových služeb.

                                                                                                                                                  Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.

                                                                                                                                                  Registrace cloudových služeb byla přerušena.

                                                                                                                                                  Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

                                                                                                                                                  Služba ještě nebyla aktivována.

                                                                                                                                                  Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.

                                                                                                                                                  Nakonfigurovaná doména neodpovídá certifikátu serveru.

                                                                                                                                                  Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby.

                                                                                                                                                  Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.

                                                                                                                                                  Ověření ke cloudovým službám se nezdařilo.

                                                                                                                                                  Zkontrolujte přesnost a případné vypršení pověření účtu služby.

                                                                                                                                                  Nepodařilo se otevřít místní soubor úložiště klíčů.

                                                                                                                                                  Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

                                                                                                                                                  Certifikát místního serveru je neplatný.

                                                                                                                                                  Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

                                                                                                                                                  Nelze odeslat metriky.

                                                                                                                                                  Zkontrolujte přístup k externím cloudovým službám v místní síti.

                                                                                                                                                  Adresář /media/configudrive/hds neexistuje.

                                                                                                                                                  Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.

                                                                                                                                                  2

                                                                                                                                                  Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Kontaktujte podporu společnosti Cisco.

                                                                                                                                                  Ostatní poznámky

                                                                                                                                                  Známé problémy zabezpečení hybridních dat

                                                                                                                                                  • Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.

                                                                                                                                                  • Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

                                                                                                                                                    Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

                                                                                                                                                  K vygenerování souboru PKCS12 použijte OpenSSL

                                                                                                                                                  Než začnete

                                                                                                                                                  • OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.

                                                                                                                                                  • Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.

                                                                                                                                                  • Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.

                                                                                                                                                  • Vytvořte soukromý klíč.

                                                                                                                                                  • Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazit certifikát jako text a ověřit podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvořte soubor .p12 s přátelským jménem kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Zkontrolujte podrobnosti o certifikátu serveru.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. friendlyName: kms-private-key.

                                                                                                                                                    Příklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

                                                                                                                                                  Provoz mezi uzly HDS a cloudem

                                                                                                                                                  Provoz kolekce odchozích metrik

                                                                                                                                                  Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).

                                                                                                                                                  Příchozí Provoz

                                                                                                                                                  Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

                                                                                                                                                  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

                                                                                                                                                  • Aktualizace softwaru uzlu

                                                                                                                                                  Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

                                                                                                                                                  Websocket se nemůže připojit prostřednictvím proxy serveru squid

                                                                                                                                                  Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.

                                                                                                                                                  Olihně 4 a 5

                                                                                                                                                  Přidat on_unsupported_protocol směrnice squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Oliheň 3.5.27

                                                                                                                                                  Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Předmluva

                                                                                                                                                  Nové a změněné informace

                                                                                                                                                  Datum

                                                                                                                                                  Provedené změny

                                                                                                                                                  20. října 2023

                                                                                                                                                  07. srpna 2023

                                                                                                                                                  23. května 2023

                                                                                                                                                  06. prosince 2022

                                                                                                                                                  23. listopadu 2022

                                                                                                                                                  13. října 2021

                                                                                                                                                  Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

                                                                                                                                                  24. června 2021

                                                                                                                                                  Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 .

                                                                                                                                                  30. dubna 2021

                                                                                                                                                  Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

                                                                                                                                                  24. února 2021

                                                                                                                                                  Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2. února 2021

                                                                                                                                                  HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  11. ledna 2021

                                                                                                                                                  Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

                                                                                                                                                  13. října 2020

                                                                                                                                                  Aktualizováno Stáhnout instalační soubory.

                                                                                                                                                  8. října 2020

                                                                                                                                                  Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

                                                                                                                                                  14. srpna 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

                                                                                                                                                  5. srpna 2020

                                                                                                                                                  Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

                                                                                                                                                  Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

                                                                                                                                                  16. června 2020

                                                                                                                                                  Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

                                                                                                                                                  4. června 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

                                                                                                                                                  29. května 2020

                                                                                                                                                  Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

                                                                                                                                                  5. května 2020

                                                                                                                                                  Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

                                                                                                                                                  21. dubna 2020

                                                                                                                                                  Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

                                                                                                                                                  1. dubna 2020

                                                                                                                                                  Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

                                                                                                                                                  20. února 2020Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.
                                                                                                                                                  4. února 2020Byly aktualizovány požadavky na proxy server.
                                                                                                                                                  16. prosince 2019Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.
                                                                                                                                                  19. listopadu 2019

                                                                                                                                                  Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

                                                                                                                                                  8. listopadu 2019

                                                                                                                                                  Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

                                                                                                                                                  Byly odpovídajícím způsobem aktualizovány následující části:


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  6. září 2019

                                                                                                                                                  Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

                                                                                                                                                  29. srpna 2019Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci.
                                                                                                                                                  20. srpna 2019

                                                                                                                                                  Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

                                                                                                                                                  Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

                                                                                                                                                  13. června 2019Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů.
                                                                                                                                                  6. března 2019
                                                                                                                                                  28. února 2019
                                                                                                                                                  • Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

                                                                                                                                                  26. února 2019
                                                                                                                                                  • Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.

                                                                                                                                                  • Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

                                                                                                                                                  24. ledna 2019

                                                                                                                                                  • Hybridní zabezpečení dat nyní podporuje Microsoft SQL Server jako databázi. SQL Server Always On (Always On Failover Clusters a Always on Availability Groups) je podporován ovladači JDBC, které se používají v hybridním zabezpečení dat. Přidán obsah týkající se nasazení se serverem SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora serveru Microsoft SQL Server je určena pouze pro nová nasazení hybridního zabezpečení dat. V současné době nepodporujeme migraci dat ze serveru PostgreSQL na server Microsoft SQL Server v existujícím nasazení.

                                                                                                                                                  5. listopadu 2018
                                                                                                                                                  19. října 2018

                                                                                                                                                  31. července 2018

                                                                                                                                                  21. května 2018

                                                                                                                                                  Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

                                                                                                                                                  • Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.

                                                                                                                                                  • Aplikace Cisco Spark je nyní aplikací Webex.

                                                                                                                                                  • Cloud Cisco Collaboraton je nyní cloudem Webex.

                                                                                                                                                  11. dubna 2018
                                                                                                                                                  22. února 2018
                                                                                                                                                  15. února 2018
                                                                                                                                                  • V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

                                                                                                                                                  18. ledna 2018

                                                                                                                                                  2. listopadu 2017

                                                                                                                                                  • Objasněna synchronizace adresáře skupiny H .

                                                                                                                                                  • Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

                                                                                                                                                  18. srpna 2017

                                                                                                                                                  První publikováno

                                                                                                                                                  Začínáme se zabezpečením hybridních dat

                                                                                                                                                  Přehled hybridního zabezpečení dat

                                                                                                                                                  Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

                                                                                                                                                  Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.

                                                                                                                                                  Architektura sféry zabezpečení

                                                                                                                                                  Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

                                                                                                                                                  Oblasti oddělení (bez zabezpečení hybridních dat)

                                                                                                                                                  Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.

                                                                                                                                                  V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:

                                                                                                                                                  1. Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

                                                                                                                                                  2. Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.

                                                                                                                                                  3. Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.

                                                                                                                                                  4. Zašifrovaná zpráva je uložena v doméně úložiště.

                                                                                                                                                  Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.

                                                                                                                                                  Spolupráce s jinými organizacemi

                                                                                                                                                  Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.

                                                                                                                                                  Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.

                                                                                                                                                  Očekávání ohledně nasazení hybridního zabezpečení dat

                                                                                                                                                  Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

                                                                                                                                                  Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

                                                                                                                                                  Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:

                                                                                                                                                  • Spravujte zálohování a obnovu databáze a konfigurační ISO.

                                                                                                                                                  • Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

                                                                                                                                                  Proces nastavení na vysoké úrovni

                                                                                                                                                  Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

                                                                                                                                                  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.

                                                                                                                                                    V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.

                                                                                                                                                  • Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.

                                                                                                                                                  • Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.

                                                                                                                                                  Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)

                                                                                                                                                  Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.

                                                                                                                                                  Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.

                                                                                                                                                  Pro každou organizaci podporujeme pouze jeden cluster.

                                                                                                                                                  Zkušební režim hybridního zabezpečení dat

                                                                                                                                                  Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.

                                                                                                                                                  Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.

                                                                                                                                                  Pohotovostní datové centrum pro zotavení po havárii

                                                                                                                                                  Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ruční převzetí při selhání do datového centra v pohotovostním režimu

                                                                                                                                                  Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

                                                                                                                                                  Nastavení datového centra pohotovostního režimu pro obnovení po havárii

                                                                                                                                                  Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

                                                                                                                                                  Než začnete

                                                                                                                                                  • Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)

                                                                                                                                                  • Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Podpora proxy serverů

                                                                                                                                                  Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.

                                                                                                                                                  Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

                                                                                                                                                  • Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).

                                                                                                                                                  • Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:

                                                                                                                                                      • HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.

                                                                                                                                                      • HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                  Příklad hybridních datových bezpečnostních uzlů a proxy serveru

                                                                                                                                                  Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.

                                                                                                                                                  Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.

                                                                                                                                                  Připravte si prostředí

                                                                                                                                                  Požadavky na zabezpečení hybridních dat

                                                                                                                                                  Licenční požadavky služby Cisco Webex

                                                                                                                                                  Nasazení hybridního zabezpečení dat:

                                                                                                                                                  Požadavky na plochu docker

                                                                                                                                                  Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.

                                                                                                                                                  Požadavky na certifikát X.509

                                                                                                                                                  Řetězec certifikátů musí splňovat následující požadavky:

                                                                                                                                                  Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

                                                                                                                                                  Požadavek

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podepsáno důvěryhodnou certifikační autoritou (CA)

                                                                                                                                                  Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat

                                                                                                                                                  • Není zástupným certifikátem

                                                                                                                                                  Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

                                                                                                                                                  KN nesmí obsahovat znak * (zástupný znak).

                                                                                                                                                  Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN.

                                                                                                                                                  Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.

                                                                                                                                                  • Podpis bez SHA1

                                                                                                                                                  Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.

                                                                                                                                                  • Formátováno jako soubor PKCS č. 12 chráněný heslem

                                                                                                                                                  • Použít přátelský název kms-private-key pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.

                                                                                                                                                  Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL.

                                                                                                                                                  Po spuštění instalačního nástroje HDS budete muset zadat heslo.

                                                                                                                                                  Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

                                                                                                                                                  Požadavky virtuálního hostitele

                                                                                                                                                  Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

                                                                                                                                                  • Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru

                                                                                                                                                  • VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.


                                                                                                                                                     

                                                                                                                                                    Pokud máte starší verzi ESXi, musíte provést upgrade.

                                                                                                                                                  • Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

                                                                                                                                                  Požadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

                                                                                                                                                  Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

                                                                                                                                                  Tabulka 2. Požadavky na databázový server podle typu databáze

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

                                                                                                                                                  • Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovladač 42.2.5

                                                                                                                                                  SQL Server JDBC ovladač 4.6

                                                                                                                                                  Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

                                                                                                                                                  Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

                                                                                                                                                  Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:

                                                                                                                                                  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.

                                                                                                                                                  • Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

                                                                                                                                                  • Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).

                                                                                                                                                  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

                                                                                                                                                    Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

                                                                                                                                                  Požadavky na externí připojení

                                                                                                                                                  Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

                                                                                                                                                  Aplikace

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Směr z aplikace

                                                                                                                                                  Cíl

                                                                                                                                                  Uzly hybridního zabezpečení dat

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí HTTPS a WSS

                                                                                                                                                  • Servery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex

                                                                                                                                                  Nástroj pro nastavení HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Docker (rozcestník)


                                                                                                                                                   

                                                                                                                                                  Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22.

                                                                                                                                                  Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

                                                                                                                                                  Oblast

                                                                                                                                                  Hostitelé identity Common Identity

                                                                                                                                                  Jižní a Severní Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropská unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požadavky na proxy server

                                                                                                                                                  • Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

                                                                                                                                                  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

                                                                                                                                                    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Provést ověření pouze pomocí protokolu HTTPS

                                                                                                                                                  • Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.

                                                                                                                                                  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.

                                                                                                                                                  • Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

                                                                                                                                                  Vyplňte předpoklady pro zabezpečení hybridních dat

                                                                                                                                                  Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.
                                                                                                                                                  1

                                                                                                                                                  Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů.

                                                                                                                                                  2

                                                                                                                                                  Vyberte název domény pro nasazení HDS (například hds.company.com) a získat řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele.

                                                                                                                                                  4

                                                                                                                                                  Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru.

                                                                                                                                                  1. Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)

                                                                                                                                                  2. Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:

                                                                                                                                                    • název hostitele nebo IP adresa (hostitel) a port

                                                                                                                                                    • název databáze (dbname) pro ukládání klíčů

                                                                                                                                                    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

                                                                                                                                                  5

                                                                                                                                                  Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.


                                                                                                                                                   

                                                                                                                                                  Protože uzly hybridního zabezpečení dat ukládají klíče používané při šifrování a dešifrování obsahu, nebude-li zachováno operační nasazení, bude mít za následek NEVRATNOU ZTRÁTU tohoto obsahu.

                                                                                                                                                  Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání.

                                                                                                                                                  8

                                                                                                                                                  Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  9

                                                                                                                                                  Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker.

                                                                                                                                                  Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

                                                                                                                                                  10

                                                                                                                                                  Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem HdsTrialGroup a přidat uživatele pilota. Zkušební skupina může mít až 250 uživatelů. Soubor HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci je nutné objekt synchronizovat s cloudem. Chcete-li synchronizovat objekt skupiny, vyberte jej v konektoru adresáře Konfigurace > nabídka výběru objektu. (Podrobné pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.)


                                                                                                                                                   

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Při výběru pilotních uživatelů mějte na paměti, že pokud se rozhodnete trvale deaktivovat nasazení hybridního zabezpečení dat, všichni uživatelé ztratí přístup k obsahu v prostorech vytvořených pilotními uživateli. Ztráta se projeví, jakmile aplikace uživatelů obnoví kopie obsahu v mezipaměti.

                                                                                                                                                  Nastavení hybridního datového bezpečnostního clusteru

                                                                                                                                                  Tok úloh nasazení hybridního zabezpečení dat

                                                                                                                                                  1

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  Stáhněte soubor OVA do místního počítače pro pozdější použití.

                                                                                                                                                  2

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  4

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

                                                                                                                                                  7

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

                                                                                                                                                  8

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Dokončete nastavení klastru.

                                                                                                                                                  9

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)

                                                                                                                                                  Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  V této úloze si stáhnete soubor OVA do svého počítače (nikoli na servery, které jste nastavili jako hybridní datové bezpečnostní uzly). Tento soubor použijete později v instalačním procesu.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

                                                                                                                                                  Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.


                                                                                                                                                   

                                                                                                                                                  Příručku OVA si můžete také kdykoli stáhnout z části Nápověda na stránce Nastavení. Stránku otevřete na kartě zabezpečení hybridních dat kliknutím na možnost Upravit nastavení. Poté klikněte na možnost Stáhnout software Hybrid Data Security v části Nápověda.


                                                                                                                                                   

                                                                                                                                                  Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady hybridního zabezpečení dat. To může mít za následek problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

                                                                                                                                                  Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
                                                                                                                                                  4

                                                                                                                                                  Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:

                                                                                                                                                    • Pověření databáze

                                                                                                                                                    • Aktualizace certifikátu

                                                                                                                                                    • Změny autorizačních zásad

                                                                                                                                                  • Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

                                                                                                                                                  1

                                                                                                                                                  Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2

                                                                                                                                                  Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                  • V běžných prostředích bez serveru proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

                                                                                                                                                  Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

                                                                                                                                                  7

                                                                                                                                                  Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

                                                                                                                                                  8

                                                                                                                                                  Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

                                                                                                                                                  9

                                                                                                                                                  Na stránce Import ISO máte tyto možnosti:

                                                                                                                                                  • Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
                                                                                                                                                  • Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.
                                                                                                                                                  10

                                                                                                                                                  Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  • Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  11

                                                                                                                                                  Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

                                                                                                                                                  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

                                                                                                                                                    Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.

                                                                                                                                                  2. (pouze Microsoft SQL Server) Vyberte typ ověření:

                                                                                                                                                    • Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.

                                                                                                                                                    • Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.

                                                                                                                                                  3. Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

                                                                                                                                                    Příklad:
                                                                                                                                                    dbhost.example.org:1433 nebo 198.51.100.17:1433

                                                                                                                                                    Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

                                                                                                                                                    Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

                                                                                                                                                  4. Zadejte název databáze.

                                                                                                                                                  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

                                                                                                                                                  12

                                                                                                                                                  Vyberte režim připojení databáze TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Popis

                                                                                                                                                  Preferovat TLS (výchozí možnost)

                                                                                                                                                  Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

                                                                                                                                                  Vyžadovat TLS

                                                                                                                                                  Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  Vyžadovat TLS a podepisovatel certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nelze použít pro databáze SQL Server.

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  • Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

                                                                                                                                                  13

                                                                                                                                                  Na stránce Systémové protokoly nakonfigurujte server Syslogd:

                                                                                                                                                  1. Zadejte adresu URL serveru syslog.

                                                                                                                                                    Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

                                                                                                                                                    Příklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

                                                                                                                                                    Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.

                                                                                                                                                  3. V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP

                                                                                                                                                    • Nulový bajt -- \x00

                                                                                                                                                    • Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.

                                                                                                                                                  4. Klikněte na tlačítko Pokračovat.

                                                                                                                                                  14

                                                                                                                                                  (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

                                                                                                                                                  Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

                                                                                                                                                  16

                                                                                                                                                  Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

                                                                                                                                                  17

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému.

                                                                                                                                                  Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  18

                                                                                                                                                  Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Soubor > Nasazení šablony OVF.

                                                                                                                                                  3

                                                                                                                                                  V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

                                                                                                                                                  4

                                                                                                                                                  Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další.

                                                                                                                                                  5

                                                                                                                                                  Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

                                                                                                                                                  Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

                                                                                                                                                  6

                                                                                                                                                  Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

                                                                                                                                                  7

                                                                                                                                                  Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

                                                                                                                                                  8

                                                                                                                                                  Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

                                                                                                                                                  9

                                                                                                                                                  Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

                                                                                                                                                  10

                                                                                                                                                  Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

                                                                                                                                                  • Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                    • Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.

                                                                                                                                                    • Celková délka čísla FQDN nesmí překročit 64 znaků.

                                                                                                                                                  • Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

                                                                                                                                                     

                                                                                                                                                    Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  • Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
                                                                                                                                                  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
                                                                                                                                                  • Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
                                                                                                                                                  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.
                                                                                                                                                  • Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

                                                                                                                                                  Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  11

                                                                                                                                                  Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

                                                                                                                                                  Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

                                                                                                                                                  Tipy pro řešení potíží

                                                                                                                                                  Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit.

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola.

                                                                                                                                                  Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
                                                                                                                                                  2

                                                                                                                                                  K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo:

                                                                                                                                                  1. Přihlášení: admin

                                                                                                                                                  2. Heslo: cisco

                                                                                                                                                  Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.

                                                                                                                                                  3

                                                                                                                                                  Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  5

                                                                                                                                                  (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě.

                                                                                                                                                  Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  Než začnete

                                                                                                                                                  Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte soubor ISO z počítače:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

                                                                                                                                                  2. V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.

                                                                                                                                                  3. V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.

                                                                                                                                                  4. Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.

                                                                                                                                                  5. Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.

                                                                                                                                                  6. Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

                                                                                                                                                  2

                                                                                                                                                  Připojit soubor ISO:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  2. Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.

                                                                                                                                                  4. Zkontrolujte Připojeno a Připojit je zapnuto.

                                                                                                                                                  5. Uložte změny a restartujte virtuální počítač.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.

                                                                                                                                                  Než začnete

                                                                                                                                                  1

                                                                                                                                                  Zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:

                                                                                                                                                  • Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
                                                                                                                                                  • Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace:
                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        Dostupné pouze pro proxy servery HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                  Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy.

                                                                                                                                                  Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.

                                                                                                                                                  4

                                                                                                                                                  Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy.

                                                                                                                                                  Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.

                                                                                                                                                  5

                                                                                                                                                  Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.

                                                                                                                                                  6

                                                                                                                                                  Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni.

                                                                                                                                                  Uzel se restartuje během několika minut.

                                                                                                                                                  7

                                                                                                                                                  Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu.

                                                                                                                                                  Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Tato úloha vezme obecný uzel, který jste vytvořili v Nastavení hybridního zabezpečení dat virtuálního počítače, zaregistruje uzel v cloudu Webex a změní jej na uzel hybridního zabezpečení dat.

                                                                                                                                                  Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  3

                                                                                                                                                  V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit.

                                                                                                                                                  Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
                                                                                                                                                  4

                                                                                                                                                  Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.

                                                                                                                                                  5

                                                                                                                                                  V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

                                                                                                                                                  Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                  Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM.

                                                                                                                                                  Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikněte na možnost Přejít do uzlu.

                                                                                                                                                  8

                                                                                                                                                  Ve zprávě upozornění klikněte na možnost Pokračovat.

                                                                                                                                                  Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                  Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Chcete-li přidat další uzly do clusteru, jednoduše vytvoříte další VMS a připojíte stejný konfigurační soubor ISO a poté uzel zaregistrujete. Doporučujeme, abyste měli alespoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.

                                                                                                                                                  4

                                                                                                                                                  Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzel.

                                                                                                                                                  1. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  2. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje.

                                                                                                                                                    Zobrazí se stránka Zdroje hybridního zabezpečení dat.
                                                                                                                                                  3. Klikněte na možnost Přidat zdroj.

                                                                                                                                                  4. V prvním poli vyberte název stávajícího clusteru.

                                                                                                                                                  5. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                    Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex.
                                                                                                                                                  6. Klikněte na možnost Přejít do uzlu.

                                                                                                                                                    Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                    Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  8. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)
                                                                                                                                                  Spustit zkušební verzi a přejít do výroby

                                                                                                                                                  Zkušební postup do výroby

                                                                                                                                                  Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.

                                                                                                                                                  1

                                                                                                                                                  Pokud je to relevantní, synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  3

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  4

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.

                                                                                                                                                  5

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  6

                                                                                                                                                  Dokončete zkušební fázi jedním z následujících kroků:

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Než začnete

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Zahájit zkušební verzi.

                                                                                                                                                  Stav služby se změní na zkušební režim.
                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb.

                                                                                                                                                  (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nastavte nasazení hybridního zabezpečení dat.

                                                                                                                                                  • Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.

                                                                                                                                                  • Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.


                                                                                                                                                   

                                                                                                                                                  Pokud deaktivujete nasazení hybridního zabezpečení dat, obsah v prostorech vytvořených pilotními uživateli již nebude po výměně kopií šifrovacích klíčů uložených v mezipaměti klienta dostupný.

                                                                                                                                                  2

                                                                                                                                                  Odeslat zprávy do nového prostoru.

                                                                                                                                                  3

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1. Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu prostředku KMS (KRO), když je vytvořen prostor nebo jiný chráněný prostředek, filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Indikátor stavu v prostředí Control Hub vám ukáže, zda je vše v pořádku s nasazením hybridního zabezpečení dat. Chcete-li získat proaktivnější upozornění, zaregistrujte se k odběru e-mailových oznámení. Budete upozorněni, když dojde k alarmům ovlivňujícím službu nebo upgradu softwaru.
                                                                                                                                                  1

                                                                                                                                                  V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení.

                                                                                                                                                  Zobrazí se stránka Nastavení zabezpečení hybridních dat.
                                                                                                                                                  3

                                                                                                                                                  V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

                                                                                                                                                  Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.

                                                                                                                                                  4

                                                                                                                                                  Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

                                                                                                                                                  Přejít ze zkušební verze do výroby

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele, můžete přejít do výroby. Když přejdete do výroby, všichni uživatelé v organizaci budou používat vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Nemůžete se vrátit z výroby do zkušebního režimu, pokud službu deaktivujete v rámci obnovení po havárii. Opětovná aktivace služby vyžaduje nastavení nové zkušební verze.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Přesunout do výroby.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete přesunout všechny uživatele do výroby.

                                                                                                                                                  Ukončete zkušební verzi bez přechodu do výroby

                                                                                                                                                  Pokud se během zkušební verze rozhodnete nepokračovat v nasazení hybridního zabezpečení dat, můžete deaktivovat hybridní zabezpečení dat, čímž zkušební verzi ukončíte a přesunete uživatele zkušební verze zpět do služeb zabezpečení cloudových dat. Uživatelé zkušební verze ztratí přístup k datům, která byla během zkušební verze zašifrována.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Deaktivovat klikněte na možnost Deaktivovat.

                                                                                                                                                  4

                                                                                                                                                  Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

                                                                                                                                                  Správa nasazení HDS

                                                                                                                                                  Spravovat nasazení HDS

                                                                                                                                                  Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

                                                                                                                                                  Nastavit plán upgradu clusteru

                                                                                                                                                  Aktualizace softwaru pro zabezpečení hybridních dat se provádí automaticky na úrovni clusteru, což zajišťuje, že všechny uzly mají vždy stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu pro cluster. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 AM Daily United States: Amerika/Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

                                                                                                                                                  Nastavení plánu upgradu:

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k Centrum Control Hub .

                                                                                                                                                  2

                                                                                                                                                  Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.

                                                                                                                                                  4

                                                                                                                                                  Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.

                                                                                                                                                  5

                                                                                                                                                  Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu.

                                                                                                                                                  Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

                                                                                                                                                  Změna konfigurace uzlu

                                                                                                                                                  Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:
                                                                                                                                                  • Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.


                                                                                                                                                     

                                                                                                                                                    Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

                                                                                                                                                  • Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

                                                                                                                                                  • Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

                                                                                                                                                  Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:

                                                                                                                                                  • Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.

                                                                                                                                                  • Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

                                                                                                                                                  Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

                                                                                                                                                  Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

                                                                                                                                                  1

                                                                                                                                                  Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

                                                                                                                                                  1. Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2. Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                    V běžných prostředích:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    V prostředích FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

                                                                                                                                                  5. Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                    • V běžných prostředích bez serveru proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V běžném prostředí s proxy serverem <UNK>:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6. Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  7. Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.

                                                                                                                                                  8. Importujte soubor ISO aktuální konfigurace.

                                                                                                                                                  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

                                                                                                                                                    Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

                                                                                                                                                  2

                                                                                                                                                  Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů.

                                                                                                                                                  1. Nainstalujte hostitelské zařízení OVA HDS.

                                                                                                                                                  2. Nastavte VM počítač HDS .

                                                                                                                                                  3. Připojte aktualizovaný konfigurační soubor.

                                                                                                                                                  4. Zaregistrujte nový uzel v centru Control Hub.

                                                                                                                                                  3

                                                                                                                                                  V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel:

                                                                                                                                                  1. Vypněte virtuální počítač.

                                                                                                                                                  2. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .

                                                                                                                                                  4. Zkontrolujte Připojit při zapnutí .

                                                                                                                                                  5. Uložte změny a zapněte virtuální počítač.

                                                                                                                                                  4

                                                                                                                                                  Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

                                                                                                                                                  Vypnout blokovaný režim externího rozlišení DNS

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.

                                                                                                                                                  Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

                                                                                                                                                  Než začnete

                                                                                                                                                  Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
                                                                                                                                                  1

                                                                                                                                                  Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte na Přehled (výchozí stránka).

                                                                                                                                                  Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .

                                                                                                                                                  3

                                                                                                                                                  Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Zkontrolovat připojení proxy.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

                                                                                                                                                  Odebrat uzel

                                                                                                                                                  Tento postup použijte k odebrání uzlu hybridního zabezpečení dat z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k vašim bezpečnostním datům.
                                                                                                                                                  1

                                                                                                                                                  Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

                                                                                                                                                  2

                                                                                                                                                  Odstranit uzel:

                                                                                                                                                  1. Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2. Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

                                                                                                                                                  3. Výběrem clusteru zobrazíte jeho panel Přehled.

                                                                                                                                                  4. Klikněte na možnost Otevřít seznam uzlů.

                                                                                                                                                  5. Na kartě Uzly vyberte uzel, který chcete odebrat.

                                                                                                                                                  6. Klepněte na tlačítko Akce > Zrušit registraci uzlu.

                                                                                                                                                  3

                                                                                                                                                  V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

                                                                                                                                                  Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

                                                                                                                                                  Zotavení po havárii pomocí pohotovostního datového centra

                                                                                                                                                  Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.

                                                                                                                                                  Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:

                                                                                                                                                  Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, umístěte pohotovostní datové centrum znovu do pasivního režimu podle kroků popsaných v nastavení pohotovostního datového centra pro zotavení po havárii.

                                                                                                                                                  (Volitelně) Odpojit ISO po konfiguraci HDS

                                                                                                                                                  Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.

                                                                                                                                                  Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.

                                                                                                                                                  Než začnete

                                                                                                                                                  Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

                                                                                                                                                  1

                                                                                                                                                  Vypněte jeden z vašich HDS uzlů.

                                                                                                                                                  2

                                                                                                                                                  Ve vCenter Server Appliance vyberte uzel HDS.

                                                                                                                                                  3

                                                                                                                                                  Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.

                                                                                                                                                  4

                                                                                                                                                  Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Opakujte postupně pro každý uzel HDS.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Zobrazení upozornění a řešení potíží

                                                                                                                                                  Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:

                                                                                                                                                  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

                                                                                                                                                  • Zprávy a názvy prostorů se nepodařilo dešifrovat pro:

                                                                                                                                                    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

                                                                                                                                                    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

                                                                                                                                                  • Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

                                                                                                                                                  Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

                                                                                                                                                  Výstrahy

                                                                                                                                                  Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.

                                                                                                                                                  Tabulka 1. Společné problémy a kroky k jejich vyřešení

                                                                                                                                                  Upozorňovat

                                                                                                                                                  Akce

                                                                                                                                                  Přístup k místní databázi selhal.

                                                                                                                                                  Zkontrolujte chyby databáze nebo problémy s místní sítí.

                                                                                                                                                  Připojení k místní databázi selhalo.

                                                                                                                                                  Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.

                                                                                                                                                  Přístup ke cloudové službě selhal.

                                                                                                                                                  Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  Obnovování registrace cloudových služeb.

                                                                                                                                                  Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.

                                                                                                                                                  Registrace cloudových služeb byla přerušena.

                                                                                                                                                  Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

                                                                                                                                                  Služba ještě nebyla aktivována.

                                                                                                                                                  Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.

                                                                                                                                                  Nakonfigurovaná doména neodpovídá certifikátu serveru.

                                                                                                                                                  Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby.

                                                                                                                                                  Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.

                                                                                                                                                  Ověření ke cloudovým službám se nezdařilo.

                                                                                                                                                  Zkontrolujte přesnost a případné vypršení pověření účtu služby.

                                                                                                                                                  Nepodařilo se otevřít místní soubor úložiště klíčů.

                                                                                                                                                  Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

                                                                                                                                                  Certifikát místního serveru je neplatný.

                                                                                                                                                  Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

                                                                                                                                                  Nelze odeslat metriky.

                                                                                                                                                  Zkontrolujte přístup k externím cloudovým službám v místní síti.

                                                                                                                                                  Adresář /media/configudrive/hds neexistuje.

                                                                                                                                                  Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

                                                                                                                                                  Řešení potíží se zabezpečením hybridních dat

                                                                                                                                                  Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.
                                                                                                                                                  1

                                                                                                                                                  Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.

                                                                                                                                                  2

                                                                                                                                                  Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Kontaktujte podporu společnosti Cisco.

                                                                                                                                                  Ostatní poznámky

                                                                                                                                                  Známé problémy zabezpečení hybridních dat

                                                                                                                                                  • Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.

                                                                                                                                                  • Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

                                                                                                                                                    Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

                                                                                                                                                  K vygenerování souboru PKCS12 použijte OpenSSL

                                                                                                                                                  Než začnete

                                                                                                                                                  • OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.

                                                                                                                                                  • Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.

                                                                                                                                                  • Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.

                                                                                                                                                  • Vytvořte soukromý klíč.

                                                                                                                                                  • Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

                                                                                                                                                  1

                                                                                                                                                  Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zobrazit certifikát jako text a ověřit podrobnosti.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Vytvořte soubor .p12 s přátelským jménem kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Zkontrolujte podrobnosti o certifikátu serveru.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. friendlyName: kms-private-key.

                                                                                                                                                    Příklad:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

                                                                                                                                                  Provoz mezi uzly HDS a cloudem

                                                                                                                                                  Provoz kolekce odchozích metrik

                                                                                                                                                  Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).

                                                                                                                                                  Příchozí Provoz

                                                                                                                                                  Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

                                                                                                                                                  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

                                                                                                                                                  • Aktualizace softwaru uzlu

                                                                                                                                                  Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

                                                                                                                                                  Websocket se nemůže připojit prostřednictvím proxy serveru squid

                                                                                                                                                  Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.

                                                                                                                                                  Olihně 4 a 5

                                                                                                                                                  Přidat on_unsupported_protocol směrnice squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Oliheň 3.5.27

                                                                                                                                                  Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Předmluva

                                                                                                                                                  Nové a změněné informace

                                                                                                                                                  Datum

                                                                                                                                                  Provedené změny

                                                                                                                                                  20. října 2023

                                                                                                                                                  07. srpna 2023

                                                                                                                                                  23. května 2023

                                                                                                                                                  06. prosince 2022

                                                                                                                                                  23. listopadu 2022

                                                                                                                                                  13. října 2021

                                                                                                                                                  Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

                                                                                                                                                  24. června 2021

                                                                                                                                                  Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 .

                                                                                                                                                  30. dubna 2021

                                                                                                                                                  Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

                                                                                                                                                  24. února 2021

                                                                                                                                                  Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

                                                                                                                                                  2. února 2021

                                                                                                                                                  HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  11. ledna 2021

                                                                                                                                                  Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

                                                                                                                                                  13. října 2020

                                                                                                                                                  Aktualizováno Stáhnout instalační soubory.

                                                                                                                                                  8. října 2020

                                                                                                                                                  Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

                                                                                                                                                  14. srpna 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

                                                                                                                                                  5. srpna 2020

                                                                                                                                                  Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

                                                                                                                                                  Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

                                                                                                                                                  16. června 2020

                                                                                                                                                  Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

                                                                                                                                                  4. června 2020

                                                                                                                                                  Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

                                                                                                                                                  29. května 2020

                                                                                                                                                  Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

                                                                                                                                                  5. května 2020

                                                                                                                                                  Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

                                                                                                                                                  21. dubna 2020

                                                                                                                                                  Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

                                                                                                                                                  1. dubna 2020

                                                                                                                                                  Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

                                                                                                                                                  20. února 2020Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.
                                                                                                                                                  4. února 2020Byly aktualizovány požadavky na proxy server.
                                                                                                                                                  16. prosince 2019Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.
                                                                                                                                                  19. listopadu 2019

                                                                                                                                                  Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

                                                                                                                                                  8. listopadu 2019

                                                                                                                                                  Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

                                                                                                                                                  Byly odpovídajícím způsobem aktualizovány následující části:


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  6. září 2019

                                                                                                                                                  Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

                                                                                                                                                  29. srpna 2019Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci.
                                                                                                                                                  20. srpna 2019

                                                                                                                                                  Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

                                                                                                                                                  Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

                                                                                                                                                  13. června 2019Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů.
                                                                                                                                                  6. března 2019
                                                                                                                                                  28. února 2019
                                                                                                                                                  • Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

                                                                                                                                                  26. února 2019
                                                                                                                                                  • Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.

                                                                                                                                                  • Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

                                                                                                                                                  24. ledna 2019

                                                                                                                                                  • Hybridní zabezpečení dat nyní podporuje Microsoft SQL Server jako databázi. SQL Server Always On (Always On Failover Clusters a Always on Availability Groups) je podporován ovladači JDBC, které se používají v hybridním zabezpečení dat. Přidán obsah týkající se nasazení se serverem SQL.


                                                                                                                                                     

                                                                                                                                                    Podpora serveru Microsoft SQL Server je určena pouze pro nová nasazení hybridního zabezpečení dat. V současné době nepodporujeme migraci dat ze serveru PostgreSQL na server Microsoft SQL Server v existujícím nasazení.

                                                                                                                                                  5. listopadu 2018
                                                                                                                                                  19. října 2018

                                                                                                                                                  31. července 2018

                                                                                                                                                  21. května 2018

                                                                                                                                                  Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

                                                                                                                                                  • Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.

                                                                                                                                                  • Aplikace Cisco Spark je nyní aplikací Webex.

                                                                                                                                                  • Cloud Cisco Collaboraton je nyní cloudem Webex.

                                                                                                                                                  11. dubna 2018
                                                                                                                                                  22. února 2018
                                                                                                                                                  15. února 2018
                                                                                                                                                  • V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

                                                                                                                                                  18. ledna 2018

                                                                                                                                                  2. listopadu 2017

                                                                                                                                                  • Objasněna synchronizace adresáře skupiny H .

                                                                                                                                                  • Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

                                                                                                                                                  18. srpna 2017

                                                                                                                                                  První publikováno

                                                                                                                                                  Začínáme se zabezpečením hybridních dat

                                                                                                                                                  Přehled hybridního zabezpečení dat

                                                                                                                                                  Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

                                                                                                                                                  Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.

                                                                                                                                                  Architektura sféry zabezpečení

                                                                                                                                                  Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

                                                                                                                                                  Oblasti oddělení (bez zabezpečení hybridních dat)

                                                                                                                                                  Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.

                                                                                                                                                  V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:

                                                                                                                                                  1. Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

                                                                                                                                                  2. Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.

                                                                                                                                                  3. Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.

                                                                                                                                                  4. Zašifrovaná zpráva je uložena v doméně úložiště.

                                                                                                                                                  Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.

                                                                                                                                                  Spolupráce s jinými organizacemi

                                                                                                                                                  Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.

                                                                                                                                                  Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.

                                                                                                                                                  Očekávání ohledně nasazení hybridního zabezpečení dat

                                                                                                                                                  Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

                                                                                                                                                  Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

                                                                                                                                                  Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:

                                                                                                                                                  • Spravujte zálohování a obnovu databáze a konfigurační ISO.

                                                                                                                                                  • Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.


                                                                                                                                                   

                                                                                                                                                  Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

                                                                                                                                                  Proces nastavení na vysoké úrovni

                                                                                                                                                  Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

                                                                                                                                                  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.

                                                                                                                                                    V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.

                                                                                                                                                  • Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.

                                                                                                                                                  • Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.

                                                                                                                                                  Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)

                                                                                                                                                  Model nasazení hybridního zabezpečení dat

                                                                                                                                                  Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)

                                                                                                                                                  Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.

                                                                                                                                                  Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.

                                                                                                                                                  Pro každou organizaci podporujeme pouze jeden cluster.

                                                                                                                                                  Zkušební režim hybridního zabezpečení dat

                                                                                                                                                  Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.

                                                                                                                                                  Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.

                                                                                                                                                  Pohotovostní datové centrum pro zotavení po havárii

                                                                                                                                                  Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ruční převzetí při selhání do datového centra v pohotovostním režimu

                                                                                                                                                  Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.


                                                                                                                                                   

                                                                                                                                                  Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

                                                                                                                                                  Nastavení datového centra pohotovostního režimu pro obnovení po havárii

                                                                                                                                                  Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

                                                                                                                                                  Než začnete

                                                                                                                                                  • Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)

                                                                                                                                                  • Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

                                                                                                                                                  1

                                                                                                                                                  Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.


                                                                                                                                                   

                                                                                                                                                  Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

                                                                                                                                                  2

                                                                                                                                                  Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

                                                                                                                                                  3

                                                                                                                                                  Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

                                                                                                                                                  5

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  6

                                                                                                                                                  V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

                                                                                                                                                  7

                                                                                                                                                  Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.


                                                                                                                                                   

                                                                                                                                                  Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

                                                                                                                                                  8

                                                                                                                                                  Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

                                                                                                                                                  9

                                                                                                                                                  Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.


                                                                                                                                                   

                                                                                                                                                  Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Podpora proxy serverů

                                                                                                                                                  Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.

                                                                                                                                                  Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

                                                                                                                                                  • Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.

                                                                                                                                                  • Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).

                                                                                                                                                  • Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:

                                                                                                                                                      • HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.

                                                                                                                                                      • HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.

                                                                                                                                                        Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

                                                                                                                                                  Příklad hybridních datových bezpečnostních uzlů a proxy serveru

                                                                                                                                                  Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.

                                                                                                                                                  Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

                                                                                                                                                  Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.

                                                                                                                                                  Připravte si prostředí

                                                                                                                                                  Požadavky na zabezpečení hybridních dat

                                                                                                                                                  Licenční požadavky služby Cisco Webex

                                                                                                                                                  Nasazení hybridního zabezpečení dat:

                                                                                                                                                  Požadavky na plochu docker

                                                                                                                                                  Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.

                                                                                                                                                  Požadavky na certifikát X.509

                                                                                                                                                  Řetězec certifikátů musí splňovat následující požadavky:

                                                                                                                                                  Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

                                                                                                                                                  Požadavek

                                                                                                                                                  Podrobnosti

                                                                                                                                                  • Podepsáno důvěryhodnou certifikační autoritou (CA)

                                                                                                                                                  Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat

                                                                                                                                                  • Není zástupným certifikátem

                                                                                                                                                  Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

                                                                                                                                                  KN nesmí obsahovat znak * (zástupný znak).

                                                                                                                                                  Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN.

                                                                                                                                                  Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.

                                                                                                                                                  • Podpis bez SHA1

                                                                                                                                                  Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.

                                                                                                                                                  • Formátováno jako soubor PKCS č. 12 chráněný heslem

                                                                                                                                                  • Použít přátelský název kms-private-key pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.

                                                                                                                                                  Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL.

                                                                                                                                                  Po spuštění instalačního nástroje HDS budete muset zadat heslo.

                                                                                                                                                  Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

                                                                                                                                                  Požadavky virtuálního hostitele

                                                                                                                                                  Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

                                                                                                                                                  • Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru

                                                                                                                                                  • VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.


                                                                                                                                                     

                                                                                                                                                    Pokud máte starší verzi ESXi, musíte provést upgrade.

                                                                                                                                                  • Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

                                                                                                                                                  Požadavky na databázový server


                                                                                                                                                   

                                                                                                                                                  Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

                                                                                                                                                  Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

                                                                                                                                                  Tabulka 2. Požadavky na databázový server podle typu databáze

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

                                                                                                                                                  • Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště)

                                                                                                                                                  Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

                                                                                                                                                  Postgrexové SQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC ovladač 42.2.5

                                                                                                                                                  SQL Server JDBC ovladač 4.6

                                                                                                                                                  Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

                                                                                                                                                  Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

                                                                                                                                                  Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:

                                                                                                                                                  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.

                                                                                                                                                  • Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

                                                                                                                                                  • Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).

                                                                                                                                                  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

                                                                                                                                                    Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

                                                                                                                                                  Požadavky na externí připojení

                                                                                                                                                  Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

                                                                                                                                                  Aplikace

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Směr z aplikace

                                                                                                                                                  Cíl

                                                                                                                                                  Uzly hybridního zabezpečení dat

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí HTTPS a WSS

                                                                                                                                                  • Servery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex

                                                                                                                                                  Nástroj pro nastavení HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Odchozí protokol HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Všichni hostitelé Common Identity

                                                                                                                                                  • Docker (rozcestník)


                                                                                                                                                   

                                                                                                                                                  Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22.

                                                                                                                                                  Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

                                                                                                                                                  Oblast

                                                                                                                                                  Hostitelé identity Common Identity

                                                                                                                                                  Jižní a Severní Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Evropská unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Požadavky na proxy server

                                                                                                                                                  • Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

                                                                                                                                                  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

                                                                                                                                                    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

                                                                                                                                                    • Provést ověření pouze pomocí protokolu HTTPS

                                                                                                                                                  • Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.

                                                                                                                                                  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.

                                                                                                                                                  • Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

                                                                                                                                                  Vyplňte předpoklady pro zabezpečení hybridních dat

                                                                                                                                                  Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.
                                                                                                                                                  1

                                                                                                                                                  Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů.

                                                                                                                                                  2

                                                                                                                                                  Vyberte název domény pro nasazení HDS (například hds.company.com) a získat řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  3

                                                                                                                                                  Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele.

                                                                                                                                                  4

                                                                                                                                                  Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru.

                                                                                                                                                  1. Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)

                                                                                                                                                  2. Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:

                                                                                                                                                    • název hostitele nebo IP adresa (hostitel) a port

                                                                                                                                                    • název databáze (dbname) pro ukládání klíčů

                                                                                                                                                    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

                                                                                                                                                  5

                                                                                                                                                  Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS.

                                                                                                                                                  6

                                                                                                                                                  Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.


                                                                                                                                                   

                                                                                                                                                  Protože uzly hybridního zabezpečení dat ukládají klíče používané při šifrování a dešifrování obsahu, nebude-li zachováno operační nasazení, bude mít za následek NEVRATNOU ZTRÁTU tohoto obsahu.

                                                                                                                                                  Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání.

                                                                                                                                                  8

                                                                                                                                                  Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

                                                                                                                                                  9

                                                                                                                                                  Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080.

                                                                                                                                                  Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker.

                                                                                                                                                  Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

                                                                                                                                                  10

                                                                                                                                                  Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

                                                                                                                                                  11

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem HdsTrialGroup a přidat uživatele pilota. Zkušební skupina může mít až 250 uživatelů. Soubor HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci je nutné objekt synchronizovat s cloudem. Chcete-li synchronizovat objekt skupiny, vyberte jej v konektoru adresáře Konfigurace > nabídka výběru objektu. (Podrobné pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.)


                                                                                                                                                   

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Při výběru pilotních uživatelů mějte na paměti, že pokud se rozhodnete trvale deaktivovat nasazení hybridního zabezpečení dat, všichni uživatelé ztratí přístup k obsahu v prostorech vytvořených pilotními uživateli. Ztráta se projeví, jakmile aplikace uživatelů obnoví kopie obsahu v mezipaměti.

                                                                                                                                                  Nastavení hybridního datového bezpečnostního clusteru

                                                                                                                                                  Tok úloh nasazení hybridního zabezpečení dat

                                                                                                                                                  1

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  Stáhněte soubor OVA do místního počítače pro pozdější použití.

                                                                                                                                                  2

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  4

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  5

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

                                                                                                                                                  7

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

                                                                                                                                                  8

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Dokončete nastavení klastru.

                                                                                                                                                  9

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)

                                                                                                                                                  Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  Stáhnout instalační soubory

                                                                                                                                                  V této úloze si stáhnete soubor OVA do svého počítače (nikoli na servery, které jste nastavili jako hybridní datové bezpečnostní uzly). Tento soubor použijete později v instalačním procesu.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

                                                                                                                                                  Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.


                                                                                                                                                   

                                                                                                                                                  Příručku OVA si můžete také kdykoli stáhnout z části Nápověda na stránce Nastavení. Stránku otevřete na kartě zabezpečení hybridních dat kliknutím na možnost Upravit nastavení. Poté klikněte na možnost Stáhnout software Hybrid Data Security v části Nápověda.


                                                                                                                                                   

                                                                                                                                                  Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady hybridního zabezpečení dat. To může mít za následek problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

                                                                                                                                                  3

                                                                                                                                                  Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

                                                                                                                                                  Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
                                                                                                                                                  4

                                                                                                                                                  Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

                                                                                                                                                  Vytvoření ISO konfigurace pro hostitele HDS

                                                                                                                                                  Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

                                                                                                                                                    Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

                                                                                                                                                    Popis

                                                                                                                                                    Proměnná

                                                                                                                                                    proxy server HTTP bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy bez ověření

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy server HTTP s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS proxy s ověřováním

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:

                                                                                                                                                    • Pověření databáze

                                                                                                                                                    • Aktualizace certifikátu

                                                                                                                                                    • Změny autorizačních zásad

                                                                                                                                                  • Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

                                                                                                                                                  1

                                                                                                                                                  Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

                                                                                                                                                  2

                                                                                                                                                  Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po zobrazení výzvy k zadání hesla zadejte tento hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

                                                                                                                                                  V běžných prostředích:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  V prostředích FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

                                                                                                                                                  • V běžných prostředích bez serveru proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V běžných prostředích s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • V prostředích FedRAMP bez proxy serveru:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • V prostředích FedRAMP s proxy serverem HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

                                                                                                                                                  Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

                                                                                                                                                  Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

                                                                                                                                                  7

                                                                                                                                                  Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

                                                                                                                                                  8

                                                                                                                                                  Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

                                                                                                                                                  9

                                                                                                                                                  Na stránce Import ISO máte tyto možnosti:

                                                                                                                                                  • Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
                                                                                                                                                  • Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.
                                                                                                                                                  10

                                                                                                                                                  Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

                                                                                                                                                  • Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
                                                                                                                                                  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
                                                                                                                                                  11

                                                                                                                                                  Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

                                                                                                                                                  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

                                                                                                                                                    Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.

                                                                                                                                                  2. (pouze Microsoft SQL Server) Vyberte typ ověření:

                                                                                                                                                    • Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.

                                                                                                                                                    • Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.

                                                                                                                                                  3. Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

                                                                                                                                                    Příklad:
                                                                                                                                                    dbhost.example.org:1433 nebo 198.51.100.17:1433

                                                                                                                                                    Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

                                                                                                                                                    Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

                                                                                                                                                  4. Zadejte název databáze.

                                                                                                                                                  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

                                                                                                                                                  12

                                                                                                                                                  Vyberte režim připojení databáze TLS:

                                                                                                                                                  Režim

                                                                                                                                                  Popis

                                                                                                                                                  Preferovat TLS (výchozí možnost)

                                                                                                                                                  Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

                                                                                                                                                  Vyžadovat TLS

                                                                                                                                                  Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  Vyžadovat TLS a podepisovatel certifikátu


                                                                                                                                                   

                                                                                                                                                  Tento režim nelze použít pro databáze SQL Server.

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

                                                                                                                                                  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

                                                                                                                                                  • Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

                                                                                                                                                  • Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

                                                                                                                                                  Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

                                                                                                                                                  Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

                                                                                                                                                  13

                                                                                                                                                  Na stránce Systémové protokoly nakonfigurujte server Syslogd:

                                                                                                                                                  1. Zadejte adresu URL serveru syslog.

                                                                                                                                                    Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

                                                                                                                                                    Příklad:
                                                                                                                                                    udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
                                                                                                                                                  2. Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

                                                                                                                                                    Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.

                                                                                                                                                  3. V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP

                                                                                                                                                    • Nulový bajt -- \x00

                                                                                                                                                    • Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.

                                                                                                                                                  4. Klikněte na tlačítko Pokračovat.

                                                                                                                                                  14

                                                                                                                                                  (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

                                                                                                                                                  Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

                                                                                                                                                  16

                                                                                                                                                  Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

                                                                                                                                                  17

                                                                                                                                                  Vytvořte záložní kopii souboru ISO v místním systému.

                                                                                                                                                  Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

                                                                                                                                                  18

                                                                                                                                                  Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.


                                                                                                                                                   

                                                                                                                                                  Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

                                                                                                                                                  Instalace HDS Host OVA

                                                                                                                                                  Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

                                                                                                                                                  2

                                                                                                                                                  Vyberte Soubor > Nasazení šablony OVF.

                                                                                                                                                  3

                                                                                                                                                  V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

                                                                                                                                                  4

                                                                                                                                                  Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další.

                                                                                                                                                  5

                                                                                                                                                  Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

                                                                                                                                                  Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

                                                                                                                                                  6

                                                                                                                                                  Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

                                                                                                                                                  7

                                                                                                                                                  Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

                                                                                                                                                  8

                                                                                                                                                  Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

                                                                                                                                                  9

                                                                                                                                                  Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

                                                                                                                                                  10

                                                                                                                                                  Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

                                                                                                                                                  • Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

                                                                                                                                                     
                                                                                                                                                    • Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                    • Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.

                                                                                                                                                    • Celková délka čísla FQDN nesmí překročit 64 znaků.

                                                                                                                                                  • Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

                                                                                                                                                     

                                                                                                                                                    Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  • Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
                                                                                                                                                  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
                                                                                                                                                  • Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
                                                                                                                                                  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.
                                                                                                                                                  • Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

                                                                                                                                                  Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.


                                                                                                                                                   

                                                                                                                                                  Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

                                                                                                                                                  11

                                                                                                                                                  Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

                                                                                                                                                  Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

                                                                                                                                                  Tipy pro řešení potíží

                                                                                                                                                  Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit.

                                                                                                                                                  Nastavení hybridního virtuálního počítače zabezpečení dat

                                                                                                                                                  Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

                                                                                                                                                  1

                                                                                                                                                  V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola.

                                                                                                                                                  Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
                                                                                                                                                  2

                                                                                                                                                  K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo:

                                                                                                                                                  1. Přihlášení: admin

                                                                                                                                                  2. Heslo: cisco

                                                                                                                                                  Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.

                                                                                                                                                  3

                                                                                                                                                  Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.

                                                                                                                                                  4

                                                                                                                                                  Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.

                                                                                                                                                  5

                                                                                                                                                  (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě.

                                                                                                                                                  Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

                                                                                                                                                  6

                                                                                                                                                  Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

                                                                                                                                                  Nahrát a připojit ISO konfigurace HDS

                                                                                                                                                  Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

                                                                                                                                                  Než začnete

                                                                                                                                                  Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.

                                                                                                                                                  1

                                                                                                                                                  Nahrajte soubor ISO z počítače:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

                                                                                                                                                  2. V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.

                                                                                                                                                  3. V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.

                                                                                                                                                  4. Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.

                                                                                                                                                  5. Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.

                                                                                                                                                  6. Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

                                                                                                                                                  2

                                                                                                                                                  Připojit soubor ISO:

                                                                                                                                                  1. V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .

                                                                                                                                                  2. Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.

                                                                                                                                                  3. Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.

                                                                                                                                                  4. Zkontrolujte Připojeno a Připojit je zapnuto.

                                                                                                                                                  5. Uložte změny a restartujte virtuální počítač.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

                                                                                                                                                  Konfigurace uzlu HDS pro integraci proxy serveru

                                                                                                                                                  Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.

                                                                                                                                                  Než začnete

                                                                                                                                                  1

                                                                                                                                                  Zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.

                                                                                                                                                  2

                                                                                                                                                  Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:

                                                                                                                                                  • Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
                                                                                                                                                  • Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
                                                                                                                                                  • Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace:
                                                                                                                                                    1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.

                                                                                                                                                    2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.

                                                                                                                                                    3. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje.

                                                                                                                                                    4. Typ ověření – vyberte si z následujících typů ověření:

                                                                                                                                                      • Žádné – není vyžadováno žádné další ověření.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                      • Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.

                                                                                                                                                        K dispozici pro proxy servery HTTP nebo HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.

                                                                                                                                                        Dostupné pouze pro proxy servery HTTPS.

                                                                                                                                                        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

                                                                                                                                                  Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy.

                                                                                                                                                  Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.

                                                                                                                                                  4

                                                                                                                                                  Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy.

                                                                                                                                                  Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit.

                                                                                                                                                  Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.

                                                                                                                                                  5

                                                                                                                                                  Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.

                                                                                                                                                  6

                                                                                                                                                  Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni.

                                                                                                                                                  Uzel se restartuje během několika minut.

                                                                                                                                                  7

                                                                                                                                                  Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu.

                                                                                                                                                  Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

                                                                                                                                                  Registrace prvního uzlu v clusteru

                                                                                                                                                  Tato úloha vezme obecný uzel, který jste vytvořili v Nastavení hybridního zabezpečení dat virtuálního počítače, zaregistruje uzel v cloudu Webex a změní jej na uzel hybridního zabezpečení dat.

                                                                                                                                                  Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se k https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  V nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  3

                                                                                                                                                  V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit.

                                                                                                                                                  Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
                                                                                                                                                  4

                                                                                                                                                  Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.

                                                                                                                                                  5

                                                                                                                                                  V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

                                                                                                                                                  Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                  Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM.

                                                                                                                                                  Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikněte na možnost Přejít do uzlu.

                                                                                                                                                  8

                                                                                                                                                  Ve zprávě upozornění klikněte na možnost Pokračovat.

                                                                                                                                                  Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  9

                                                                                                                                                  Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                  Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

                                                                                                                                                  Vytvoření a registrace dalších uzlů

                                                                                                                                                  Chcete-li přidat další uzly do clusteru, jednoduše vytvoříte další VMS a připojíte stejný konfigurační soubor ISO a poté uzel zaregistrujete. Doporučujeme, abyste měli alespoň 3 uzly.

                                                                                                                                                   

                                                                                                                                                  V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.

                                                                                                                                                  • Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.

                                                                                                                                                  2

                                                                                                                                                  Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.

                                                                                                                                                  3

                                                                                                                                                  Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.

                                                                                                                                                  4

                                                                                                                                                  Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.

                                                                                                                                                  5

                                                                                                                                                  Zaregistrujte uzel.

                                                                                                                                                  1. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby.

                                                                                                                                                  2. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje.

                                                                                                                                                    Zobrazí se stránka Zdroje hybridního zabezpečení dat.
                                                                                                                                                  3. Klikněte na možnost Přidat zdroj.

                                                                                                                                                  4. V prvním poli vyberte název stávajícího clusteru.

                                                                                                                                                  5. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další.

                                                                                                                                                    Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex.
                                                                                                                                                  6. Klikněte na možnost Přejít do uzlu.

                                                                                                                                                    Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu.
                                                                                                                                                  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

                                                                                                                                                    Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
                                                                                                                                                  8. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub.

                                                                                                                                                  Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

                                                                                                                                                  Co dělat dál

                                                                                                                                                  Spustit zkušební verzi a přesunout do výroby (další kapitola)
                                                                                                                                                  Spustit zkušební verzi a přejít do výroby

                                                                                                                                                  Zkušební postup do výroby

                                                                                                                                                  Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.

                                                                                                                                                  1

                                                                                                                                                  Pokud je to relevantní, synchronizujte HdsTrialGroup skupinový objekt.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

                                                                                                                                                  3

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  4

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.

                                                                                                                                                  5

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  6

                                                                                                                                                  Dokončete zkušební fázi jedním z následujících kroků:

                                                                                                                                                  Aktivovat zkušební verzi

                                                                                                                                                  Než začnete

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Zahájit zkušební verzi.

                                                                                                                                                  Stav služby se změní na zkušební režim.
                                                                                                                                                  4

                                                                                                                                                  Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb.

                                                                                                                                                  (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, HdsTrialGroup.)

                                                                                                                                                  Otestujte nasazení hybridního zabezpečení dat

                                                                                                                                                  Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

                                                                                                                                                  Než začnete

                                                                                                                                                  • Nastavte nasazení hybridního zabezpečení dat.

                                                                                                                                                  • Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.

                                                                                                                                                  • Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1

                                                                                                                                                  Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.


                                                                                                                                                   

                                                                                                                                                  Pokud deaktivujete nasazení hybridního zabezpečení dat, obsah v prostorech vytvořených pilotními uživateli již nebude po výměně kopií šifrovacích klíčů uložených v mezipaměti klienta dostupný.

                                                                                                                                                  2

                                                                                                                                                  Odeslat zprávy do nového prostoru.

                                                                                                                                                  3

                                                                                                                                                  Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

                                                                                                                                                  1. Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu prostředku KMS (KRO), když je vytvořen prostor nebo jiný chráněný prostředek, filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Měli byste najít například:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorovat zdraví hybridního zabezpečení dat

                                                                                                                                                  Indikátor stavu v prostředí Control Hub vám ukáže, zda je vše v pořádku s nasazením hybridního zabezpečení dat. Chcete-li získat proaktivnější upozornění, zaregistrujte se k odběru e-mailových oznámení. Budete upozorněni, když dojde k alarmům ovlivňujícím službu nebo upgradu softwaru.
                                                                                                                                                  1

                                                                                                                                                  V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení.

                                                                                                                                                  Zobrazí se stránka Nastavení zabezpečení hybridních dat.
                                                                                                                                                  3

                                                                                                                                                  V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

                                                                                                                                                  Přidání nebo odebrání uživatelů ze zkušební verze

                                                                                                                                                  Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

                                                                                                                                                  Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.

                                                                                                                                                  Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.

                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.

                                                                                                                                                  4

                                                                                                                                                  Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

                                                                                                                                                  Přejít ze zkušební verze do výroby

                                                                                                                                                  Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele, můžete přejít do výroby. Když přejdete do výroby, všichni uživatelé v organizaci budou používat vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Nemůžete se vrátit z výroby do zkušebního režimu, pokud službu deaktivujete v rámci obnovení po havárii. Opětovná aktivace služby vyžaduje nastavení nové zkušební verze.
                                                                                                                                                  1

                                                                                                                                                  Přihlaste se do prostředí Control Hub a vyberte možnost Služby.

                                                                                                                                                  2

                                                                                                                                                  V části Zabezpečení hybridních dat klikněte na možnost Nastavení.

                                                                                                                                                  3

                                                                                                                                                  V části Stav služby klikněte na možnost Přesunout do výroby.