- Domů
- /
- Článek
V tomto článkuNové a změněné informace
Datum | Provedené změny | ||
|---|---|---|---|
20. října 2023 |
| ||
07. srpna 2023 |
| ||
23. května 2023 |
| ||
06. prosince 2022 |
| ||
23. listopadu 2022 |
| ||
13. října 2021 | Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
24. června 2021 | Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 | Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele. | ||
24. února 2021 | Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
2. února 2021 | HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
11. ledna 2021 | Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
13. října 2020 | Aktualizováno Stáhnout instalační soubory. | ||
8. října 2020 | Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
14. srpna 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
5. srpna 2020 | Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
16. června 2020 | Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
4. června 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
29. května 2020 | Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
5. května 2020 | Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
21. dubna 2020 | Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
1. dubna 2020 | Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 4. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 | Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
8. listopadu 2019 | Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
6. září 2019 | Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 | Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
31. července 2018 |
| ||
| 21. května 2018 | Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
2. listopadu 2017 |
| ||
18. srpna 2017 | První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:
Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
 | Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serverů
Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.
Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
Typ ověření – vyberte si z následujících typů ověření:
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Příklad hybridních datových bezpečnostních uzlů a proxy serveru
Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.
Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
Požadavek | Podrobnosti |
|---|---|
| Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
| Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
| Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
| Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
Postgrexové SQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) | Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
Postgrexové SQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovladač 42.2.5 | SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
Aplikace | Protokol | Port | Směr z aplikace | Cíl |
|---|---|---|---|---|
Uzly hybridního zabezpečení dat | TCP | 443 | Odchozí HTTPS a WSS |
|
Nástroj pro nastavení HDS | TCP | 443 | Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
Oblast | Hostitelé identity Common Identity |
|---|---|
Jižní a Severní Amerika |
|
Evropská unie |
|
Kanada |
|
Požadavky na proxy server
Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.
Transparentní proxy – Cisco Web Security Appliance (WSA).
Explicitní proxy – Squid.
Chrániče olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) spojení. Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
Základní ověřování pomocí protokolu HTTP nebo HTTPS
Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na
wbx2.comaciscospark.comvyřeší problém.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 | Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 | Vyberte název domény pro nasazení HDS (například | ||
| 3 | Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 | Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 | Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 | Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 | Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 | Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 | Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 | Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 | Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 | Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 | Nastavení hybridního virtuálního počítače zabezpečení dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 | Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 | Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 | Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 | Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 | Spustit zkušební verzi a přesunout do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 | Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 | V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 | Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 | Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
Pověření databáze
Aktualizace certifikátu
Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 | Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí: V běžných prostředích: V prostředích FedRAMP:
| ||||||||||||
| 2 | Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující: | ||||||||||||
| 3 | Po zobrazení výzvy k zadání hesla zadejte tento hash: | ||||||||||||
| 4 | Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí: V běžných prostředích: V prostředích FedRAMP: | ||||||||||||
| 5 | Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:
Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“. | ||||||||||||
| 6 |
Chcete-li přejít na localhost, použijte webový prohlížeč Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 | Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 | Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 | Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 | Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 | Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 | Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 | (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 | Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat. Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 | Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 | Chcete-li instalační nástroj vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 | Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 | Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 | V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 | Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další. | ||||||
| 5 | Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 | Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 | Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další. | ||||||
| 8 | Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače. | ||||||
| 9 | Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači. | ||||||
| 10 | Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 | Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení hybridního virtuálního počítače zabezpečení dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 | V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 | K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 | Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci. |
| 4 | Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 | (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 | Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 | Nahrajte soubor ISO z počítače: |
| 2 | Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.
Než začnete
Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
| 1 | Zadejte adresu URL nastavení uzlu HDS |
| 2 | Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:
Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS. |
| 3 | Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát. |
| 4 | Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 | Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund. |
| 6 | Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut. |
| 7 | Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Přihlaste se k https://admin.webex.com. |
| 2 | V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 | V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 | Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 | V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 | Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 | Klikněte na možnost Přejít do uzlu. |
| 8 | Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 | Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 | Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 | Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 | Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 | Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 | Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 | Pokud je to relevantní, synchronizujte Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 | Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 | Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 | Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 | Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 | Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 | Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 | Odeslat zprávy do nového prostoru. | ||
| 3 | Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 | V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby. |
| 2 | V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 | V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 | Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit . |
Přejít ze zkušební verze do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 | Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 | Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 | Přihlaste se k Centrum Control Hub . |
| 2 | Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 | Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 | Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 | Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.
Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.
Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.
Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.
Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:
Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.
Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.
Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTK vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.
| 1 | Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.
| ||||||
| 2 | Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 | V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel: | ||||||
| 4 | Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.
Než začnete
| 1 | Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se. |
| 2 | Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano . |
| 3 | Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy. |
| 4 | Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No. |
Co dělat dál
Odebrat uzel
| 1 | Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 | Odstranit uzel: |
| 3 | V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 | Vypněte jeden z vašich HDS uzlů. |
| 2 | Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 | Vybrat a zrušit zaškrtnutí souboru ISO datastore. |
| 4 | Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 | Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
Upozornění | Akce |
|---|---|
Přístup k místní databázi selhal. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 | Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 | Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 | Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 | Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 | Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 | Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 | Vytvořte soubor .p12 s přátelským jménem
|
| 5 | Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit prostřednictvím proxy serveru squid
Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Olihně 4 a 5
Přidat on_unsupported_protocol směrnice squid.conf:
on_unsupported_protocol tunnel allOliheň 3.5.27
Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a změněné informace
Datum | Provedené změny | ||
|---|---|---|---|
20. října 2023 |
| ||
07. srpna 2023 |
| ||
23. května 2023 |
| ||
06. prosince 2022 |
| ||
23. listopadu 2022 |
| ||
13. října 2021 | Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
24. června 2021 | Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 | Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele. | ||
24. února 2021 | Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
2. února 2021 | HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
11. ledna 2021 | Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
13. října 2020 | Aktualizováno Stáhnout instalační soubory. | ||
8. října 2020 | Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
14. srpna 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
5. srpna 2020 | Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
16. června 2020 | Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
4. června 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
29. května 2020 | Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
5. května 2020 | Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
21. dubna 2020 | Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
1. dubna 2020 | Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 4. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 | Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
8. listopadu 2019 | Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
6. září 2019 | Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 | Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
31. července 2018 |
| ||
| 21. května 2018 | Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
2. listopadu 2017 |
| ||
18. srpna 2017 | První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:
Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
| Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serverů
Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.
Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
Typ ověření – vyberte si z následujících typů ověření:
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Příklad hybridních datových bezpečnostních uzlů a proxy serveru
Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.
Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
Požadavek | Podrobnosti |
|---|---|
| Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
| Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
| Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
| Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
Postgrexové SQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) | Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
Postgrexové SQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovladač 42.2.5 | SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
Aplikace | Protokol | Port | Směr z aplikace | Cíl |
|---|---|---|---|---|
Uzly hybridního zabezpečení dat | TCP | 443 | Odchozí HTTPS a WSS |
|
Nástroj pro nastavení HDS | TCP | 443 | Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
Oblast | Hostitelé identity Common Identity |
|---|---|
Jižní a Severní Amerika |
|
Evropská unie |
|
Kanada |
|
Požadavky na proxy server
Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.
Transparentní proxy – Cisco Web Security Appliance (WSA).
Explicitní proxy – Squid.
Chrániče olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) spojení. Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
Základní ověřování pomocí protokolu HTTP nebo HTTPS
Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na
wbx2.comaciscospark.comvyřeší problém.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 | Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 | Vyberte název domény pro nasazení HDS (například | ||
| 3 | Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 | Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 | Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 | Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 | Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 | Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 | Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 | Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 | Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 | Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 | Nastavení hybridního virtuálního počítače zabezpečení dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 | Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 | Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 | Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 | Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 | Spustit zkušební verzi a přesunout do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 | Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 | V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 | Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 | Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
Pověření databáze
Aktualizace certifikátu
Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 | Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí: V běžných prostředích: V prostředích FedRAMP:
| ||||||||||||
| 2 | Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující: | ||||||||||||
| 3 | Po zobrazení výzvy k zadání hesla zadejte tento hash: | ||||||||||||
| 4 | Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí: V běžných prostředích: V prostředích FedRAMP: | ||||||||||||
| 5 | Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:
Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“. | ||||||||||||
| 6 |
Chcete-li přejít na localhost, použijte webový prohlížeč Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 | Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 | Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 | Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 | Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 | Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 | Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 | (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 | Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat. Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 | Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 | Chcete-li instalační nástroj vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 | Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 | Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 | V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 | Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další. | ||||||
| 5 | Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 | Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 | Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další. | ||||||
| 8 | Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače. | ||||||
| 9 | Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači. | ||||||
| 10 | Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 | Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení hybridního virtuálního počítače zabezpečení dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 | V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 | K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 | Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci. |
| 4 | Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 | (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 | Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 | Nahrajte soubor ISO z počítače: |
| 2 | Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.
Než začnete
Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
| 1 | Zadejte adresu URL nastavení uzlu HDS |
| 2 | Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:
Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS. |
| 3 | Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát. |
| 4 | Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 | Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund. |
| 6 | Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut. |
| 7 | Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Přihlaste se k https://admin.webex.com. |
| 2 | V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 | V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 | Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 | V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 | Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 | Klikněte na možnost Přejít do uzlu. |
| 8 | Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 | Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 | Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 | Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 | Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 | Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 | Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 | Pokud je to relevantní, synchronizujte Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 | Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 | Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 | Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 | Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 | Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 | Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 | Odeslat zprávy do nového prostoru. | ||
| 3 | Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 | V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby. |
| 2 | V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 | V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 | Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit . |
Přejít ze zkušební verze do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 | Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 | Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 | Přihlaste se k Centrum Control Hub . |
| 2 | Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 | Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 | Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 | Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.
Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.
Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.
Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.
Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:
Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.
Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.
Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTK vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.
| 1 | Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.
| ||||||
| 2 | Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 | V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel: | ||||||
| 4 | Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.
Než začnete
| 1 | Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se. |
| 2 | Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano . |
| 3 | Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy. |
| 4 | Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No. |
Co dělat dál
Odebrat uzel
| 1 | Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 | Odstranit uzel: |
| 3 | V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 | Vypněte jeden z vašich HDS uzlů. |
| 2 | Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 | Vybrat a zrušit zaškrtnutí souboru ISO datastore. |
| 4 | Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 | Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
Upozorňovat | Akce |
|---|---|
Přístup k místní databázi selhal. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 | Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 | Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 | Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 | Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 | Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 | Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 | Vytvořte soubor .p12 s přátelským jménem
|
| 5 | Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit prostřednictvím proxy serveru squid
Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Olihně 4 a 5
Přidat on_unsupported_protocol směrnice squid.conf:
on_unsupported_protocol tunnel allOliheň 3.5.27
Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a změněné informace
Datum | Provedené změny | ||
|---|---|---|---|
20. října 2023 |
| ||
07. srpna 2023 |
| ||
23. května 2023 |
| ||
06. prosince 2022 |
| ||
23. listopadu 2022 |
| ||
13. října 2021 | Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
24. června 2021 | Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 | Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele. | ||
24. února 2021 | Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
2. února 2021 | HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
11. ledna 2021 | Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
13. října 2020 | Aktualizováno Stáhnout instalační soubory. | ||
8. října 2020 | Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
14. srpna 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
5. srpna 2020 | Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
16. června 2020 | Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
4. června 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
29. května 2020 | Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
5. května 2020 | Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
21. dubna 2020 | Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
1. dubna 2020 | Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 4. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 | Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
8. listopadu 2019 | Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
6. září 2019 | Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 | Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
31. července 2018 |
| ||
| 21. května 2018 | Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
2. listopadu 2017 |
| ||
18. srpna 2017 | První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:
Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
| Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serverů
Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.
Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
Typ ověření – vyberte si z následujících typů ověření:
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Příklad hybridních datových bezpečnostních uzlů a proxy serveru
Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.
Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
Požadavek | Podrobnosti |
|---|---|
| Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
| Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
| Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
| Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
Postgrexové SQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) | Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
Postgrexové SQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovladač 42.2.5 | SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
Aplikace | Protokol | Port | Směr z aplikace | Cíl |
|---|---|---|---|---|
Uzly hybridního zabezpečení dat | TCP | 443 | Odchozí HTTPS a WSS |
|
Nástroj pro nastavení HDS | TCP | 443 | Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
Oblast | Hostitelé identity Common Identity |
|---|---|
Jižní a Severní Amerika |
|
Evropská unie |
|
Kanada |
|
Požadavky na proxy server
Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.
Transparentní proxy – Cisco Web Security Appliance (WSA).
Explicitní proxy – Squid.
Chrániče olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) spojení. Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
Základní ověřování pomocí protokolu HTTP nebo HTTPS
Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na
wbx2.comaciscospark.comvyřeší problém.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 | Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 | Vyberte název domény pro nasazení HDS (například | ||
| 3 | Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 | Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 | Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 | Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 | Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 | Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 | Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 | Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 | Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 | Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 | Nastavení hybridního virtuálního počítače zabezpečení dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 | Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 | Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 | Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 | Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 | Spustit zkušební verzi a přesunout do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 | Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 | V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 | Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 | Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
Pověření databáze
Aktualizace certifikátu
Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 | Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí: V běžných prostředích: V prostředích FedRAMP:
| ||||||||||||
| 2 | Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující: | ||||||||||||
| 3 | Po zobrazení výzvy k zadání hesla zadejte tento hash: | ||||||||||||
| 4 | Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí: V běžných prostředích: V prostředích FedRAMP: | ||||||||||||
| 5 | Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:
Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“. | ||||||||||||
| 6 |
Chcete-li přejít na localhost, použijte webový prohlížeč Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 | Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 | Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 | Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 | Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 | Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 | Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 | (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 | Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat. Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 | Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 | Chcete-li instalační nástroj vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 | Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 | Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 | V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 | Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další. | ||||||
| 5 | Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 | Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 | Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další. | ||||||
| 8 | Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače. | ||||||
| 9 | Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači. | ||||||
| 10 | Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 | Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení hybridního virtuálního počítače zabezpečení dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 | V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 | K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 | Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci. |
| 4 | Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 | (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 | Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 | Nahrajte soubor ISO z počítače: |
| 2 | Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.
Než začnete
Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
| 1 | Zadejte adresu URL nastavení uzlu HDS |
| 2 | Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:
Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS. |
| 3 | Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát. |
| 4 | Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 | Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund. |
| 6 | Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut. |
| 7 | Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Přihlaste se k https://admin.webex.com. |
| 2 | V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 | V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 | Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 | V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 | Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 | Klikněte na možnost Přejít do uzlu. |
| 8 | Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 | Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 | Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 | Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 | Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 | Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 | Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 | Pokud je to relevantní, synchronizujte Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 | Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 | Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 | Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 | Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 | Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 | Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 | Odeslat zprávy do nového prostoru. | ||
| 3 | Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 | V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby. |
| 2 | V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 | V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 | Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit . |
Přejít ze zkušební verze do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 | Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 | Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 | Přihlaste se k Centrum Control Hub . |
| 2 | Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 | Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 | Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 | Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.
Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.
Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.
Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.
Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:
Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.
Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.
Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTK vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.
| 1 | Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.
| ||||||
| 2 | Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 | V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel: | ||||||
| 4 | Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.
Než začnete
| 1 | Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se. |
| 2 | Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano . |
| 3 | Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy. |
| 4 | Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No. |
Co dělat dál
Odebrat uzel
| 1 | Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 | Odstranit uzel: |
| 3 | V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 | Vypněte jeden z vašich HDS uzlů. |
| 2 | Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 | Vybrat a zrušit zaškrtnutí souboru ISO datastore. |
| 4 | Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 | Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
Upozorňovat | Akce |
|---|---|
Přístup k místní databázi selhal. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 | Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 | Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 | Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 | Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 | Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 | Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 | Vytvořte soubor .p12 s přátelským jménem
|
| 5 | Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit prostřednictvím proxy serveru squid
Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Olihně 4 a 5
Přidat on_unsupported_protocol směrnice squid.conf:
on_unsupported_protocol tunnel allOliheň 3.5.27
Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a změněné informace
Datum | Provedené změny | ||
|---|---|---|---|
20. října 2023 |
| ||
07. srpna 2023 |
| ||
23. května 2023 |
| ||
06. prosince 2022 |
| ||
23. listopadu 2022 |
| ||
13. října 2021 | Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
24. června 2021 | Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 | Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele. | ||
24. února 2021 | Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
2. února 2021 | HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
11. ledna 2021 | Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
13. října 2020 | Aktualizováno Stáhnout instalační soubory. | ||
8. října 2020 | Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
14. srpna 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
5. srpna 2020 | Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
16. června 2020 | Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
4. června 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
29. května 2020 | Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
5. května 2020 | Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
21. dubna 2020 | Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
1. dubna 2020 | Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 4. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 | Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
8. listopadu 2019 | Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
6. září 2019 | Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 | Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
31. července 2018 |
| ||
| 21. května 2018 | Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
2. listopadu 2017 |
| ||
18. srpna 2017 | První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:
Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
| Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serverů
Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.
Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
Typ ověření – vyberte si z následujících typů ověření:
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Příklad hybridních datových bezpečnostních uzlů a proxy serveru
Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.
Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
Požadavek | Podrobnosti |
|---|---|
| Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
| Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
| Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
| Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
Postgrexové SQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) | Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
Postgrexové SQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovladač 42.2.5 | SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
Aplikace | Protokol | Port | Směr z aplikace | Cíl |
|---|---|---|---|---|
Uzly hybridního zabezpečení dat | TCP | 443 | Odchozí HTTPS a WSS |
|
Nástroj pro nastavení HDS | TCP | 443 | Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
Oblast | Hostitelé identity Common Identity |
|---|---|
Jižní a Severní Amerika |
|
Evropská unie |
|
Kanada |
|
Požadavky na proxy server
Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.
Transparentní proxy – Cisco Web Security Appliance (WSA).
Explicitní proxy – Squid.
Chrániče olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) spojení. Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
Základní ověřování pomocí protokolu HTTP nebo HTTPS
Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na
wbx2.comaciscospark.comvyřeší problém.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 | Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 | Vyberte název domény pro nasazení HDS (například | ||
| 3 | Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 | Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 | Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 | Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 | Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 | Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 | Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 | Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 | Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 | Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 | Nastavení hybridního virtuálního počítače zabezpečení dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 | Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 | Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 | Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 | Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 | Spustit zkušební verzi a přesunout do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 | Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 | V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 | Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 | Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
Pověření databáze
Aktualizace certifikátu
Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 | Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí: V běžných prostředích: V prostředích FedRAMP:
| ||||||||||||
| 2 | Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující: | ||||||||||||
| 3 | Po zobrazení výzvy k zadání hesla zadejte tento hash: | ||||||||||||
| 4 | Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí: V běžných prostředích: V prostředích FedRAMP: | ||||||||||||
| 5 | Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:
Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“. | ||||||||||||
| 6 |
Chcete-li přejít na localhost, použijte webový prohlížeč Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 | Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 | Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 | Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 | Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 | Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 | Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 | (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 | Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat. Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 | Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 | Chcete-li instalační nástroj vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 | Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 | Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 | V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 | Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další. | ||||||
| 5 | Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 | Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 | Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další. | ||||||
| 8 | Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače. | ||||||
| 9 | Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači. | ||||||
| 10 | Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 | Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení hybridního virtuálního počítače zabezpečení dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 | V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 | K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 | Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci. |
| 4 | Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 | (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 | Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 | Nahrajte soubor ISO z počítače: |
| 2 | Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.
Než začnete
Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
| 1 | Zadejte adresu URL nastavení uzlu HDS |
| 2 | Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:
Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS. |
| 3 | Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát. |
| 4 | Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 | Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund. |
| 6 | Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut. |
| 7 | Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Přihlaste se k https://admin.webex.com. |
| 2 | V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 | V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 | Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 | V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 | Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 | Klikněte na možnost Přejít do uzlu. |
| 8 | Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 | Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 | Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 | Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 | Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 | Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 | Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 | Pokud je to relevantní, synchronizujte Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 | Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 | Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 | Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 | Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 | Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 | Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 | Odeslat zprávy do nového prostoru. | ||
| 3 | Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 | V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby. |
| 2 | V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 | V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 | Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit . |
Přejít ze zkušební verze do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 | Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 | Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 | Přihlaste se k Centrum Control Hub . |
| 2 | Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 | Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 | Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 | Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.
Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.
Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.
Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.
Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:
Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.
Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.
Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTK vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.
| 1 | Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.
| ||||||
| 2 | Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 | V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel: | ||||||
| 4 | Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.
Než začnete
| 1 | Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se. |
| 2 | Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano . |
| 3 | Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy. |
| 4 | Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No. |
Co dělat dál
Odebrat uzel
| 1 | Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 | Odstranit uzel: |
| 3 | V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 | Vypněte jeden z vašich HDS uzlů. |
| 2 | Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 | Vybrat a zrušit zaškrtnutí souboru ISO datastore. |
| 4 | Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 | Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
Upozorňovat | Akce |
|---|---|
Přístup k místní databázi selhal. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 | Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 | Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 | Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 | Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 | Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 | Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 | Vytvořte soubor .p12 s přátelským jménem
|
| 5 | Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit prostřednictvím proxy serveru squid
Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Olihně 4 a 5
Přidat on_unsupported_protocol směrnice squid.conf:
on_unsupported_protocol tunnel allOliheň 3.5.27
Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a změněné informace
Datum | Provedené změny | ||
|---|---|---|---|
20. října 2023 |
| ||
07. srpna 2023 |
| ||
23. května 2023 |
| ||
06. prosince 2022 |
| ||
23. listopadu 2022 |
| ||
13. října 2021 | Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
24. června 2021 | Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 | Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele. | ||
24. února 2021 | Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
2. února 2021 | HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
11. ledna 2021 | Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
13. října 2020 | Aktualizováno Stáhnout instalační soubory. | ||
8. října 2020 | Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
14. srpna 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
5. srpna 2020 | Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
16. června 2020 | Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
4. června 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
29. května 2020 | Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
5. května 2020 | Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
21. dubna 2020 | Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
1. dubna 2020 | Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 4. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 | Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
8. listopadu 2019 | Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
6. září 2019 | Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 | Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován tok úloh zkušební verze na výrobní s připomenutím synchronizace HdsTrialGroup skupinový objekt před spuštěním zkušební verze, pokud vaše organizace používá synchronizaci adresářů. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
31. července 2018 |
| ||
| 21. května 2018 | Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
2. listopadu 2017 |
| ||
18. srpna 2017 | První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základem tohoto zabezpečení je šifrování obsahu mezi koncovými body, které umožňují klienti aplikace Webex komunikující se službou správy klíčů (KMS). Služba KMS je odpovědná za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Zabezpečení hybridních dat přesunuje službu KMS a další funkce související se zabezpečením do vašeho podnikové údaje centra, takže klíče k vašemu zašifrovanému obsahu nemáte nikdo kromě vás.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí.
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k datům, musíte:
Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
| Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři a můžete mít až pět. Existence více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby v uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit hybridní zabezpečení dat na všechny své uživatele, přesunete nasazení do výroby. Uživatelé programu Pilot mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci passiveMode v ISO souboru a jeho uložení, můžete vytvořit další kopii ISO souboru bez passiveMode konfiguraci a uložte ji na zabezpečené místo. Tato kopie ISO souboru bez passiveMode nakonfigurovaná může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serverů
Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy v uzlech můžete použít pro správu certifikátů a kontrolu celkového stavu připojení po nastavit proxy serveru pro uzly.
Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
Typ ověření – vyberte si z následujících typů ověření:
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
Příklad hybridních datových bezpečnostních uzlů a proxy serveru
Tento diagram ukazuje příklad spojení mezi hybridním datovým zabezpečením, sítí a proxy serverem. Pro možnosti průhledné kontroly a explicitní kontroly proxy serveru HTTPS musí být na proxy serveru a na uzlech hybridního zabezpečení dat nainstalován stejný kořenový certifikát.
Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy, které neumožňují externí rozlišení DNS pro interní klienty, se uzel nemůže dotazovat na servery DNS, automaticky přejde do režimu blokovaného externího rozlišení DNS. V tomto režimu mohou pokračovat registrace uzlu a další testy připojení proxy.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker, „ Docker aktualizuje a rozšiřuje naše předplatné produktů „.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
Požadavek | Podrobnosti |
|---|---|
| Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
| Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
| Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
| Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
Postgrexové SQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) | Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
Postgrexové SQL | Microsoft SQL Server |
|---|---|
Postgres JDBC ovladač 42.2.5 | SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
Aplikace | Protokol | Port | Směr z aplikace | Cíl |
|---|---|---|---|---|
Uzly hybridního zabezpečení dat | TCP | 443 | Odchozí HTTPS a WSS |
|
Nástroj pro nastavení HDS | TCP | 443 | Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
Oblast | Hostitelé identity Common Identity |
|---|---|
Jižní a Severní Amerika |
|
Evropská unie |
|
Kanada |
|
Požadavky na proxy server
Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.
Transparentní proxy – Cisco Web Security Appliance (WSA).
Explicitní proxy – Squid.
Chrániče olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) spojení. Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
Základní ověřování pomocí protokolu HTTP nebo HTTPS
Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na
wbx2.comaciscospark.comvyřeší problém.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 | Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 | Vyberte název domény pro nasazení HDS (například | ||
| 3 | Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 | Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 | Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 | Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 | Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přebudovat datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 | Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 | Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) pomocí webového prohlížeče, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 | Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 | Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 | Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 | Nastavení hybridního virtuálního počítače zabezpečení dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 | Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 | Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 | Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 | Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 | Spustit zkušební verzi a přesunout do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 | Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 | V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 | Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 | Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTKonfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
Pověření databáze
Aktualizace certifikátu
Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 | Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí: V běžných prostředích: V prostředích FedRAMP:
| ||||||||||||
| 2 | Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující: | ||||||||||||
| 3 | Po zobrazení výzvy k zadání hesla zadejte tento hash: | ||||||||||||
| 4 | Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí: V běžných prostředích: V prostředích FedRAMP: | ||||||||||||
| 5 | Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:
Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“. | ||||||||||||
| 6 |
Chcete-li přejít na localhost, použijte webový prohlížeč Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 | Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 | Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 | Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 | Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 | Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 | Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 | Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 | (Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 | Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat. Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 | Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 | Chcete-li instalační nástroj vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 | Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 | Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 | V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 | Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další. | ||||||
| 5 | Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 | Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 | Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další. | ||||||
| 8 | Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače. | ||||||
| 9 | Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači. | ||||||
| 10 | Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 | Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení hybridního virtuálního počítače zabezpečení dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 | V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 | K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 | Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci. |
| 4 | Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 | (Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 | Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 | Nahrajte soubor ISO z počítače: |
| 2 | Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.
Než začnete
Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
| 1 | Zadejte adresu URL nastavení uzlu HDS |
| 2 | Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost:
Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS. |
| 3 | Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát. |
| 4 | Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 | Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund. |
| 6 | Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut. |
| 7 | Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Přihlaste se k https://admin.webex.com. |
| 2 | V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 | V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 | Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 | V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 | Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 | Klikněte na možnost Přejít do uzlu. |
| 8 | Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 | Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 | Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 | Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 | Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 | Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 | Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 | Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 | Pokud je to relevantní, synchronizujte Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 | Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 | Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 | Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 | Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 | Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 | Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 | Odeslat zprávy do nového prostoru. | ||
| 3 | Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 | V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby. |
| 2 | V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 | V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 | Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit . |
Přejít ze zkušební verze do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 | Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 | Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 | V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 | V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 | Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 | Přihlaste se k Centrum Control Hub . |
| 2 | Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 | Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 | Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 | Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.
Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.
Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.
Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.
Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:
Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.
Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.
Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.
Než začnete
Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:
Popis
Proměnná
proxy server HTTP bez ověření
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez ověření
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTproxy server HTTP s ověřováním
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s ověřováním
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTK vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.
| 1 | Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.
| ||||||
| 2 | Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 | V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel: | ||||||
| 4 | Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.
Než začnete
| 1 | Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se. |
| 2 | Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano . |
| 3 | Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy. |
| 4 | Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No. |
Co dělat dál
Odebrat uzel
| 1 | Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 | Odstranit uzel: |
| 3 | V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 | Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 | Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení. | ||
| 3 | Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte
| ||
| 4 | Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 | Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace. | ||
| 6 | V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 | Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 | Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 | Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 | Vypněte jeden z vašich HDS uzlů. |
| 2 | Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 | Vybrat a zrušit zaškrtnutí souboru ISO datastore. |
| 4 | Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 | Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
Upozorňovat | Akce |
|---|---|
Přístup k místní databázi selhal. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 | Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 | Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 | Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 | Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 | Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 | Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 | Vytvořte soubor .p12 s přátelským jménem
|
| 5 | Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit prostřednictvím proxy serveru squid
Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Olihně 4 a 5
Přidat on_unsupported_protocol směrnice squid.conf:
on_unsupported_protocol tunnel allOliheň 3.5.27
Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNové a změněné informace
|
Datum |
Provedené změny | ||
|---|---|---|---|
|
20. října 2023 |
| ||
|
07. srpna 2023 |
| ||
|
23. května 2023 |
| ||
|
06. prosince 2022 |
| ||
|
23. listopadu 2022 |
| ||
|
13. října 2021 |
Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker. | ||
|
Června 24, 2021 |
Upozorňujeme, že soubor soukromého klíče a zástupce oddělení služeb zákazníkům můžete znovu použít k vyžádání dalšího certifikátu. Více informací najdete v tématu Použití OpenSSL pro generování souboru PKCS12 . | ||
| 30. dubna 2021 |
Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele . | ||
|
24. února 2021 |
Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS. | ||
|
2. února 2021 |
HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS. | ||
|
11. ledna 2021 |
Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS. | ||
|
13. října 2020 |
Aktualizováno Stáhnout instalační soubory. | ||
|
8. října 2020 |
Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP. | ||
|
14. srpna 2020 |
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování. | ||
|
5. srpna 2020 |
Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu. Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů. | ||
|
16. června 2020 |
Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub. | ||
|
4. června 2020 |
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit. | ||
|
29. května 2020 |
Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními. | ||
|
5. května 2020 |
Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5. | ||
|
21. dubna 2020 |
Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI. | ||
|
1. dubna 2020 |
Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI. | ||
| 20. února 2020 | Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS. | ||
| 12. února 2020 | Byly aktualizovány požadavky na proxy server. | ||
| 16. prosince 2019 | Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server. | ||
| 19. listopadu 2019 |
Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech: | ||
|
8. listopadu 2019 |
Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později. Byly odpovídajícím způsobem aktualizovány následující části:
| ||
|
6. září 2019 |
Byl přidán standard serveru SQL Server k požadavkům databázového serveru. | ||
| 29. srpna 2019 | Byla přidána příloha Konfigurace proxy serveru Squid pro hybridní zabezpečení dat s pokyny pro konfiguraci proxy serveru Squid tak, aby ignorovaly provoz websoketu pro správnou funkci. | ||
| 20. srpna 2019 |
Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex. Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy. | ||
| 13. června 2019 | Byl aktualizován postup zkušební verze na výrobní úlohy s připomenutím synchronizace objektu skupiny H Group před zahájením zkušební verze, pokud vaše organizace používá synchronizaci adresáře. | ||
| 6. března 2019 |
| ||
| 28. února 2019 |
| ||
| 26. února 2019 |
| ||
|
24. ledna 2019 |
| ||
| 5. listopadu 2018 |
| ||
| 19. října 2018 | |||
|
31. července 2018 |
| ||
| 21. května 2018 |
Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:
| ||
| 11. dubna 2018 |
| ||
| 22. února 2018 |
| ||
| 15. února 2018 |
| ||
| 18. ledna 2018 |
| ||
|
2. listopadu 2017 |
| ||
|
18. srpna 2017 |
První publikováno |
Přehled hybridního zabezpečení dat
Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základním kamenem tohoto zabezpečení je šifrování obsahu mezi koncovými zařízeními, které umožňují klienti aplikace Webex interagující se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.
Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.
Architektura sféry zabezpečení
Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.
Abychom lépe porozuměli zabezpečení hybridních dat, podívejme se nejprve na tento čistě cloudový případ, kdy společnost Cisco poskytuje všechny funkce ve svých cloudových sférách. Služba identity, jediné místo, kde mohou být uživatelé přímo korelováni s jejich osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Oba jsou odděleny od sféry, kde je nakonec uložen šifrovaný obsah, v datovém centru C.
V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byla ověřena službou identity. Když uživatel sestaví zprávu, která má být odeslána do prostoru, budou provedeny následující kroky:
-
Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
-
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
-
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
-
Zašifrovaná zpráva je uložena v doméně úložiště.
Při nasazení hybridního zabezpečení dat přesunete funkce sféry zabezpečení (KMS, indexování a soulad) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách společnosti Cisco.
Spolupráce s jinými organizacemi
Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který vlastní vaše organizace (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.
Služba KMS spuštěná v organizaci A ověřuje připojení k KMSv jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s hybridním zabezpečením dat najdete v části Příprava prostředí .
Očekávání ohledně nasazení hybridního zabezpečení dat
Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.
Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:
-
Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
-
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.
Úplná ztráta konfiguračního ISO, které vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, bude mít za následek ztrátu klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale bude viditelný pouze nový obsah. Abyste zabránili ztrátě přístupu k údajům, musíte:
-
Spravujte zálohování a obnovu databáze a konfigurační ISO.
-
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.
| Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS. |
Proces nastavení na vysoké úrovni
Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:
Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
-
Udržujte nasazení zabezpečení hybridních dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
-
Rozumějte běžným výstrahám, krokům při řešení potíží a známým problémům– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.
Model nasazení hybridního zabezpečení dat
V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených websocketů a zabezpečeného protokolu HTTP.
Během instalačního procesu vám poskytneme soubor OVA pro nastavení virtuálního zařízení na VMS, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní konfigurační soubor ISO clusteru, který připojíte ke každému uzlu. Cluster hybridního zabezpečení dat používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (V nástroji pro nastavení HDS nakonfigurujete Syslogd a podrobnosti o připojení k databázi.)
Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme minimálně tři a můžete mít až pět. Mít více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)
Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a vyřizují klíčové požadavky v round-robin módě, podle pokynů cloudu.
Uzly se stanou aktivními, když je zaregistrujete v prostředí Control Hub. Chcete-li vyřadit jednotlivý uzel ze služby, můžete jej zrušit a v případě potřeby později znovu zaregistrovat.
Pro každou organizaci podporujeme pouze jeden cluster.
Zkušební režim hybridního zabezpečení dat
Po nastavení nasazení hybridního zabezpečení dat jej nejprve vyzkoušejte se sadou pilotních uživatelů. Během zkušebního období tito uživatelé používají vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Ostatní uživatelé nadále používají sféru cloudového zabezpečení.
Pokud se rozhodnete nepokračovat v nasazení během zkušební verze a službu deaktivovat, pilotní uživatelé a všichni uživatelé, s nimiž během zkušební doby komunikovali vytvořením nových prostorů, ztratí přístup ke zprávám a obsahu. V aplikaci Webex se zobrazí „Tuto zprávu nelze dešifrovat“.
Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit zabezpečení hybridních dat na všechny své uživatele, přesunete nasazení do výroby. Pilotní uživatelé mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.
Pohotovostní datové centrum pro zotavení po havárii
Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.
Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje dobu potřebnou k provedení převzetí služeb při selhání. Soubor ISO datového centra pohotovostního režimu je aktualizován o další konfigurace, které zajišťují, že uzly jsou registrovány v organizaci, ale nebudou zpracovávat provoz. Proto jsou uzly pohotovostního datového centra vždy aktuální s nejnovější verzí softwaru HDS.
| Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server. |
Nastavení datového centra pohotovostního režimu pro obnovení po havárii
Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:
Než začnete
-
Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. (Přehled tohoto modelu převzetí při selhání najdete v pohotovostním datovém centru pro obnovení po havárii .)
-
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.
| 1 |
Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.
| ||
| 2 |
Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení | ||
| 3 |
Na stránce Rozšířená nastavení přidejte níže uvedenou konfiguraci, abyste uzel umístili do pasivního režimu. V tomto režimu bude uzel zaregistrován do organizace a připojen ke cloudu, ale nebude zpracovávat žádný provoz.
| ||
| 4 |
Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 |
Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace. | ||
| 6 |
V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 |
Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 |
Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 |
Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
Po konfiguraci Mode v souboru ISO a jeho uložení můžete vytvořit další kopii souboru ISO bez konfigurace Mode a uložit ji na zabezpečené místo. Tato kopie souboru ISO bez konfigurace Mode může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.
Podpora proxy serveru
Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.
Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:
-
Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není nutná žádná aktualizace certifikátu.
-
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a pro práci s nekontrolovaným proxy serverem by neměly vyžadovat žádné změny. Není nutná žádná aktualizace certifikátu.
-
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
-
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma má používat. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
-
IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
-
Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
-
Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
-
HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.
-
HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.
-
-
Typ ověření – vyberte si z následujících typů ověření:
-
Žádné – není vyžadováno žádné další ověření.
K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
-
Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
Vyžaduje zadání uživatelského jména a hesla na každém uzlu.
-
Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.
K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.
Vyžaduje zadání uživatelského jména a hesla na každém uzlu.
-
-
Příklad hybridních uzlů zabezpečení dat a proxy serveru
Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.
Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.
Požadavky na zabezpečení hybridních dat
Licenční požadavky služby Cisco Webex
Nasazení hybridního zabezpečení dat:
-
Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)
Požadavky na plochu docker
Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.
Požadavky na certifikát X.509
Řetězec certifikátů musí splňovat následující požadavky:
|
Požadavek |
Podrobnosti |
|---|---|
|
Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs. |
|
Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název odrážející vaši organizaci, například KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení. |
|
Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací. |
|
Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo. |
Software KMS nevynucuje použití klíčů ani rozšířená omezení použití klíčů. Některé certifikační autority vyžadují, aby byla pro každý certifikát použita rozšířená omezení využití klíčů, například ověřování serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.
Požadavky virtuálního hostitele
Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:
-
Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
-
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.
Pokud máte starší verzi ESXi, musíte provést upgrade.
-
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server
Požadavky na databázový server
| Vytvořte novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze. |
Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:
|
Postgrexové SQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Minimálně 8 vcpus, 16 GB hlavní paměti, dostatek místa na pevném disku a monitorování, aby nedošlo k překročení (doporučuje se 2-TB, pokud chcete databázi provozovat po dlouhou dobu, aniž byste museli zvětšovat úložiště) |
Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:
|
Postgrexové SQL |
Microsoft SQL Server |
|---|---|
|
Postgres JDBC ovladač 42.2.5 |
SQL Server JDBC ovladač 4.6 Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On). |
Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server
Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete v prostředí následující konfiguraci:
-
Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
-
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
-
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
-
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.
Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.
Požadavky na externí připojení
Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:
|
Aplikace |
Protokol |
Port |
Směr z aplikace |
Cíl |
|---|---|---|---|---|
|
Uzly hybridního zabezpečení dat |
TCP |
443 |
Odchozí HTTPS a WSS |
|
|
Nástroj pro nastavení HDS |
TCP |
443 |
Odchozí protokol HTTPS |
|
| Uzly hybridního zabezpečení dat pracují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo firewall umožňuje požadované odchozí připojení k cílům domény v předchozí tabulce. U připojení, která směřují do uzlů hybridního zabezpečení dat, by z internetu neměly být viditelné žádné porty. V rámci datového centra potřebují klienti pro administrativní účely přístup k uzlům hybridního zabezpečení dat na portech TCP 443 a 22. |
Zkratky pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:
|
Oblast |
Hostitelé identity Common Identity |
|---|---|
|
Jižní a Severní Amerika |
|
|
Evropská unie |
|
|
Kanada |
|
Požadavky na proxy server
-
Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.
-
Transparentní proxy server – Cisco Web Security Appliance (WSA).
-
Explicitní proxy – chobotnice.
Servery pro olihně, které kontrolují provoz HTTPS, mohou zasahovat do vytváření připojení websocket (wss:). Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.
-
-
Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
-
Žádné ověřování pomocí protokolu HTTP nebo HTTPS
-
Základní ověřování pomocí protokolu HTTP nebo HTTPS
-
Ověřování algoritmem Digest pouze pomocí protokolu HTTPS
-
-
Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.
-
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.
-
Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na
wbx2.comaciscospark.com.
Vyplňte předpoklady pro zabezpečení hybridních dat
| 1 |
Ujistěte se, že je vaše organizace Webex povolena pro sadu Pro Pack pro rozbočovač Cisco Webex Control Hub, a získejte přihlašovací údaje účtu s plnými právy správce organizace. Požádejte o pomoc s tímto procesem partnera společnosti Cisco nebo správce účtů. | ||
| 2 |
Zvolte název domény pro nasazení HDS (například | ||
| 3 |
Připravte identické virtuální hostitele, které v clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete nejméně dva samostatné hostitele (doporučujeme 3), kteří se nacházejí společně ve stejném zabezpečeném datovém centru, které splňují požadavky v části Požadavky virtuálního hostitele. | ||
| 4 |
Připravte databázový server, který bude fungovat jako úložiště klíčových dat clusteru podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru. | ||
| 5 |
Pro rychlé obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí VMS a záložní databázový server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. | ||
| 6 |
Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514). | ||
| 7 |
Vytvořte zabezpečené zásady zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Aby se zabránilo nevratné ztrátě dat, je nutné zálohovat databázi a konfigurační soubor ISO vygenerovaný pro hybridní datové bezpečnostní uzly.
Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přestavět datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání. | ||
| 8 |
Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení. | ||
| 9 |
Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080. Instanci Docker můžete stáhnout a spustit nástroj pro nastavení HDS, který vytváří místní konfigurační informace pro všechny uzly hybridního zabezpečení dat. Vaše organizace může potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu docker. Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení. | ||
| 10 |
Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server. | ||
| 11 |
Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem
|
Tok úloh nasazení hybridního zabezpečení dat
Než začnete
| 1 |
Stáhněte soubor OVA do místního počítače pro pozdější použití. | ||
| 2 |
Vytvoření ISO konfigurace pro hostitele HDS Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat. | ||
| 3 |
Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.
| ||
| 4 |
Nastavení virtuálního počítače pro zabezpečení hybridních dat Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA. | ||
| 5 |
Nahrát a připojit ISO konfigurace HDS Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS. | ||
| 6 |
Konfigurace uzlu HDS pro integraci proxy serveru Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů. | ||
| 7 |
Registrace prvního uzlu v clusteru Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel. | ||
| 8 |
Vytvoření a registrace dalších uzlů Dokončete nastavení klastru. | ||
| 9 |
Spustit zkušební verzi a přejít do výroby (další kapitola) Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
Stáhnout instalační soubory
| 1 |
Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby. | ||||
| 2 |
V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit. Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.
| ||||
| 3 |
Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další. Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.
| ||||
| 4 |
Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky. |
Vytvoření ISO konfigurace pro hostitele HDS
Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.
Než začnete
-
Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu Control Hub s plnými právy správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. V této tabulce jsou uvedeny některé možné proměnné prostředí:
Popis
Proměnná
Http proxy bez autentizace
GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez autentizace
GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHttp proxy s autentizací
GLOBÁLNÍ_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s autentizací
GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Soubor ISO konfigurace, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
-
Pověření databáze
-
Aktualizace certifikátu
-
Změny autorizačních zásad
-
-
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.
| 1 |
Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí: V běžném prostředí: V prostředí FedRAMP:
| ||||||||||||
| 2 |
Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující: | ||||||||||||
| 3 |
Na výzvu k zadání hesla zadejte tento hash: | ||||||||||||
| 4 |
Stáhněte si nejnovější stabilní obrázek pro své prostředí: V běžném prostředí: V prostředí FedRAMP: | ||||||||||||
| 5 |
Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:
Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080." | ||||||||||||
| 6 |
Pomocí webového prohlížeče přejděte na localhost Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení. | ||||||||||||
| 7 |
Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat. | ||||||||||||
| 8 |
Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme. | ||||||||||||
| 9 |
Na stránce Import ISO máte tyto možnosti:
| ||||||||||||
| 10 |
Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.
| ||||||||||||
| 11 |
Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti: | ||||||||||||
| 12 |
Vyberte režim připojení databáze TLS:
Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.) | ||||||||||||
| 13 |
Na stránce Systémové protokoly nakonfigurujte server Syslogd: | ||||||||||||
| 14 |
(Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit: | ||||||||||||
| 15 |
Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat . Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO. | ||||||||||||
| 16 |
Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít. | ||||||||||||
| 17 |
Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace. | ||||||||||||
| 18 |
Chcete-li nástroj nastavení vypnout, zadejte |
Co dělat dál
Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.
| Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte. |
Instalace HDS Host OVA
| 1 |
Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači. | ||||||
| 2 |
Vyberte Soubor > Nasazení šablony OVF. | ||||||
| 3 |
V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další. | ||||||
| 4 |
Na stránce Vybrat název a složku zadejte název virtuálního počítače uzlu (například „HDS_Node_1“), vyberte místo, kde může být umístěno nasazení uzlu virtuálního počítače, a klikněte na tlačítko Další. | ||||||
| 5 |
Na stránce Vybrat výpočetní prostředek zvolte cílový výpočetní prostředek a klikněte na tlačítko Další. Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně. | ||||||
| 6 |
Ověřte podrobnosti o šabloně a klikněte na tlačítko Další. | ||||||
| 7 |
Pokud budete vyzváni k výběru konfigurace prostředků na stránce Configuration , klikněte na možnost 4 CPU a pak na tlačítko Další. | ||||||
| 8 |
Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí zásady pro formát disku a úložiště virtuálních počítačů. | ||||||
| 9 |
Na stránce Vybrat sítě zvolte ze seznamu záznamů možnost sítě, aby bylo možné zajistit požadované připojení k virtuálnímu počítači. | ||||||
| 10 |
Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:
Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.
| ||||||
| 11 |
Klikněte pravým tlačítkem myši na virtuální počítač uzlu a pak zvolte možnost . Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel. Tipy pro řešení potíží Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit. |
Nastavení virtuálního počítače pro zabezpečení hybridních dat
Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.
| 1 |
V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola . Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
|
| 2 |
K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce. |
| 3 |
Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci . |
| 4 |
Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován. |
| 5 |
(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509. |
| 6 |
Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily. |
Nahrát a připojit ISO konfigurace HDS
Než začnete
Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.
| 1 |
Nahrajte soubor ISO z počítače: |
| 2 |
Připojit soubor ISO: |
Co dělat dál
Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.
Konfigurace uzlu HDS pro integraci proxy serveru
Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.
Než začnete
-
Přehled podporovaných možností proxy serveru najdete v tématu Podpora proxy serveru.
| 1 |
Zadejte adresu URL nastavení uzlu HDS |
| 2 |
Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:
Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS. |
| 3 |
Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru. Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst. |
| 4 |
Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem. Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit. Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS. |
| 5 |
Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví. |
| 6 |
Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat. Uzel se restartuje během několika minut. |
| 7 |
Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu. Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru. |
Registrace prvního uzlu v clusteru
Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.
Než začnete
-
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
-
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 |
Přihlaste se k https://admin.webex.com. |
| 2 |
V nabídce na levé straně obrazovky vyberte možnost Služby. |
| 3 |
V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
|
| 4 |
Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další. |
| 5 |
V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas" |
| 6 |
Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
|
| 7 |
Klikněte na možnost Přejít do uzlu. |
| 8 |
Ve zprávě upozornění klikněte na možnost Pokračovat . Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
|
| 9 |
Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
|
| 10 |
Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.
|
Vytvoření a registrace dalších uzlů
| V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat , pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii. Do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu. |
Než začnete
-
Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
-
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.
| 1 |
Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS. |
| 2 |
Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat. |
| 3 |
Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS. |
| 4 |
Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel. |
| 5 |
Zaregistrujte uzel. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.
|
Co dělat dál
Zkušební postup do výroby
Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.
| 1 |
V případě potřeby synchronizujte objekt skupiny Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte před zahájením zkušební verze vybrat objekt skupiny |
| 2 |
Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována. |
| 3 |
Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat. |
| 4 |
Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy. |
| 5 | |
| 6 |
Dokončete zkušební fázi jedním z následujících kroků: |
Aktivovat zkušební verzi
Než začnete
Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat objekt skupiny H Group pro synchronizaci s cloudem, než budete moci zahájit zkušební verzi pro vaši organizaci. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
| 1 |
Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby. |
| 2 |
V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 |
V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
|
| 4 |
Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat použití uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, |
Otestujte nasazení hybridního zabezpečení dat
Než začnete
-
Nastavte nasazení hybridního zabezpečení dat.
-
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
-
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.
| 1 |
Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.
| ||
| 2 |
Odeslat zprávy do nového prostoru. | ||
| 3 |
Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat. |
Monitorovat zdraví hybridního zabezpečení dat
| 1 |
V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby . |
| 2 |
V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
|
| 3 |
V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter. |
Přidání nebo odebrání uživatelů ze zkušební verze
Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.
Pokud vaše organizace používá synchronizaci adresářů, použijte službu Active Directory (namísto tohoto postupu) ke správě zkušební skupiny H Group; členy skupiny můžete zobrazit v centru Control Hub, ale nemůžete je přidat ani odebrat.
| 1 |
Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 |
V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 |
V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze. |
| 4 |
Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Poté klikněte na Uložit. |
Přejít ze zkušební verze do výroby
| 1 |
Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 |
V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 |
V části Stav služby klikněte na možnost Přesunout do výroby. |
| 4 |
Potvrďte, že chcete přesunout všechny uživatele do výroby. |
Ukončete zkušební verzi bez přechodu do výroby
| 1 |
Přihlaste se do prostředí Control Hub a vyberte možnost Služby. |
| 2 |
V části Zabezpečení hybridních dat klikněte na možnost Nastavení. |
| 3 |
V části Deaktivovat klikněte na možnost Deaktivovat. |
| 4 |
Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit. |
Spravovat nasazení HDS
Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.
Nastavit plán upgradu clusteru
Nastavení plánu upgradu:
| 1 |
Přihlaste se do ovládacího centra. |
| 2 |
Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat. |
| 3 |
Na stránce Prostředky zabezpečení hybridních dat vyberte cluster. |
| 4 |
Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru. |
| 5 |
Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit. |
Změna konfigurace uzlu
-
Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.
Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.
-
Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.
Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.
-
Vytvoření nové konfigurace pro přípravu nového datového centra.
Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:
-
Měkké reset– Staré i nové heslo fungují až 10 dní. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.
-
Tvrdé reset – stará hesla okamžitě přestanou fungovat.
Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.
Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.
Než začnete
-
Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu Control Hub s plnými právy správce pro vaši organizaci.
Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. V této tabulce jsou uvedeny některé možné proměnné prostředí:
Popis
Proměnná
Http proxy bez autentizace
GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS proxy bez autentizace
GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHttp proxy s autentizací
GLOBÁLNÍ_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS proxy s autentizací
GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.
| 1 |
Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.
| ||||||
| 2 |
Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový virtuální počítač hybridního datového bezpečnostního uzlu a zaregistrujte jej pomocí nového konfiguračního souboru ISO. Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů. | ||||||
| 3 |
Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu: | ||||||
| 4 |
Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci. |
Vypnout blokovaný režim externího rozlišení DNS
Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.
Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.
Než začnete
| 1 |
Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se. |
| 2 |
Přejděte na Přehled (výchozí stránka). Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano. |
| 3 |
Přejděte na stránku Obchod důvěryhodnosti a proxy server. |
| 4 |
Klikněte na Zkontrolovat připojení proxy serveru. Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne. |
Co dělat dál
Odebrat uzel
| 1 |
Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač. |
| 2 |
Odstranit uzel: |
| 3 |
V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klepněte pravým tlačítkem na virtuální počítač a klepněte na tlačítko Odstranit.) Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač. |
Zotavení po havárii pomocí pohotovostního datového centra
Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.
Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:
Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.
| 1 |
Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS. | ||
| 2 |
Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení | ||
| 3 |
Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte konfiguraci
| ||
| 4 |
Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít. | ||
| 5 |
Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace. | ||
| 6 |
V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.. | ||
| 7 |
Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.
| ||
| 8 |
Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy. | ||
| 9 |
Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.
|
Co dělat dál
(Volitelně) Odpojit ISO po konfiguraci HDS
Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.
Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.
Než začnete
Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.
| 1 |
Vypněte jeden z vašich HDS uzlů. |
| 2 |
Ve vCenter Server Appliance vyberte uzel HDS. |
| 3 |
Zvolte a zrušte zaškrtnutí souboru ISO datastore. |
| 4 |
Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut. |
| 5 |
Opakujte postupně pro každý uzel HDS. |
Zobrazení upozornění a řešení potíží
Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, mají následující příznaky:
-
Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
-
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
-
Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
-
Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
-
-
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.
Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.
Výstrahy
Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.
|
Upozornění |
Akce |
|---|---|
|
Selhání přístupu k místní databázi. |
Zkontrolujte chyby databáze nebo problémy s místní sítí. |
|
Připojení k místní databázi selhalo. |
Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby. |
|
Přístup ke cloudové službě selhal. |
Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení. |
|
Obnovování registrace cloudových služeb. |
Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace. |
|
Registrace cloudových služeb byla přerušena. |
Registrace ke cloudovým službám byla ukončena. Služba se vypíná. |
|
Služba ještě nebyla aktivována. |
Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby. |
|
Nakonfigurovaná doména neodpovídá certifikátu serveru. |
Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení. |
|
Ověření ke cloudovým službám se nezdařilo. |
Zkontrolujte přesnost a případné vypršení pověření účtu služby. |
|
Nepodařilo se otevřít místní soubor úložiště klíčů. |
Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů. |
|
Certifikát místního serveru je neplatný. |
Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou. |
|
Nelze odeslat metriky. |
Zkontrolujte přístup k externím cloudovým službám v místní síti. |
|
Adresář /media/configudrive/hds neexistuje. |
Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje. |
Řešení potíží se zabezpečením hybridních dat
| 1 |
Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete. |
| 2 |
Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat. |
| 3 |
Kontaktujte podporu společnosti Cisco. |
Známé problémy zabezpečení hybridních dat
-
Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
-
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.
Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).
K vygenerování souboru PKCS12 použijte OpenSSL
Než začnete
-
OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
-
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
-
Nainstalovat OpenSSL v podporovaném prostředí. Viz https://www.openssl.org software a dokumentaci.
-
Vytvořte soukromý klíč.
-
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).
| 1 |
Když obdržíte certifikát serveru od certifikační autority, uložte jej jako |
| 2 |
Zobrazit certifikát jako text a ověřit podrobnosti.
|
| 3 |
Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem
|
| 4 |
Vytvořte soubor .p12 s přátelským názvem
|
| 5 |
Zkontrolujte podrobnosti o certifikátu serveru. |
Co dělat dál
Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Soubor hdsnode.p12 a heslo, které jste pro něj nastavili, budete používat v Vytvořit ISO konfigurace pro hostitele HDS.
| Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu. |
Provoz mezi uzly HDS a cloudem
Provoz kolekce odchozích metrik
Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).
Příchozí Provoz
Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:
-
Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
-
Aktualizace softwaru uzlu
Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat
Websocket se nemůže připojit přes Squid Proxy
Proxy servery olihní, které kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu (wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.
Chobotnice 4 a 5
Přidejte on_unsupported_protocol směrnici do squid.conf:
on_unsupported_protocol tunely všechnyChobotnice 3.5.27
Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.
acl wssl Mercuryspojení ssl::server_name_regex rtuť-připojení ssl_bump splice wsscuryconnection acl step1 at_step Sslbump1 acl step2 at_step Sslbump2 acl step3 at_step Sslbump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all
