V tomto článku
dropdown icon
Nové a změněné informace
    Nové a změněné informace
dropdown icon
Začínáme s hybridním zabezpečením dat pro více klientů
    dropdown icon
    Přehled hybridního zabezpečení dat pro více klientů
      Jak hybridní zabezpečení dat pro více klientů zajišťuje datovou suverenitu a kontrolu nad daty
      Omezení hybridního zabezpečení dat pro více klientů
      Role v hybridním zabezpečení dat pro více klientů
    dropdown icon
    Architektura bezpečnostní sféry
      Říše oddělení (bez hybridního zabezpečení dat)
    Spolupráce s dalšími organizacemi
    Očekávání pro nasazení hybridního zabezpečení dat
    Proces nastavení na vysoké úrovni
    dropdown icon
    Hybridní model nasazení zabezpečení dat
      Hybridní model nasazení zabezpečení dat
    dropdown icon
    Záložní datové centrum pro zotavení po havárii
      Ruční přepnutí do záložního datového centra
    Podpora proxy serveru
dropdown icon
Připravte si své prostředí
    dropdown icon
    Požadavky na zabezpečení hybridních dat pro více klientů
      Požadavky na licenci Cisco Webex
      Požadavky na Docker Desktop
      Požadavky na certifikát X.509
      Požadavky na virtuální hostitele
      Požadavky na databázový server
      Požadavky na externí připojení
      Požadavky na proxy server
    Splňte předpoklady pro hybridní zabezpečení dat
dropdown icon
Nastavení hybridního clusteru zabezpečení dat
    Postup úlohy nasazení hybridního zabezpečení dat
    Proveďte počáteční nastavení a stáhněte instalační soubory
    Vytvořte konfigurační ISO soubor pro hostitele HDS
    Instalace OVA hostitele HDS
    Nastavení virtuálního počítače s hybridním zabezpečením dat
    Nahrajte a připojte ISO soubor s konfigurací HDS
    Konfigurace uzlu HDS pro integraci proxy serveru
    Zaregistrujte první uzel v clusteru
    Vytvořte a zaregistrujte další uzly
dropdown icon
Správa organizací klientů v rámci hybridního zabezpečení dat pro více klientů
    Aktivace Multi-Tenant HDS v centru pro partnery
    Přidání organizací klientů v centru pro partnery
    Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje HDS Setup
    Odebrat organizace nájemníků
    Zrušit klíčová jména (CMK) nájemníků odstraněných z HDS.
dropdown icon
Otestujte své nasazení hybridního zabezpečení dat
    Otestujte své hybridní nasazení zabezpečení dat
    Monitorování stavu hybridní bezpečnosti dat
dropdown icon
Správa nasazení HDS
    Správa nasazení HDS
    Nastavení plánu upgradu clusteru
    Změna konfigurace uzlu
    Vypnout blokovaný režim externího rozlišení DNS
    Odebrat uzel
    Obnova po havárii s využitím záložního datového centra
    (Volitelné) Odpojení ISO po konfiguraci HDS
dropdown icon
Řešení problémů s hybridním zabezpečením dat
    Zobrazit upozornění a řešit problémy
    dropdown icon
    Upozornění
      Běžné problémy a kroky k jejich řešení
    Řešení problémů s hybridním zabezpečením dat
dropdown icon
Další poznámky
    Známé problémy s hybridním zabezpečením dat
    Spusťte nástroj HDS Setup pomocí nástroje Podman Desktop
    dropdown icon
    Přesunutí stávajícího nasazení HDS pro jednoho klienta partnerské organizace v Control Hub do nastavení HDS pro více klientů v Partner Hub.
      Deaktivace HDS, zrušení registrace uzlů a odstranění clusteru v Control Hubu
      Aktivujte Multi-Tenant HDS pro partnerskou organizaci v Partner Hub a přidejte zákazníky.
    Použití OpenSSL k vygenerování souboru PKCS12
    Provoz mezi uzly HDS a cloudem
    dropdown icon
    Konfigurace proxy serverů Squid pro hybridní zabezpečení dat
      Websocket se nemůže připojit přes Squid Proxy
dropdown icon
Deaktivace hybridního zabezpečení dat pro více klientů
    Postup deaktivace vícenájemného HDS
22. května 2025 | 7 zobrazení | 0 osob/y, podle nichž byl obsah užitečný

Průvodce nasazením hybridního zabezpečení dat pro více klientů (HDS) (Beta verze)

list-menuV tomto článku
list-menuZpětná vazba?

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

13. prosince 2024

První verze.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • VMware ESXi 6.5 (nebo novější) byl nainstalován a spuštěn.

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 6.5. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 6.5. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

4. března 2025

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Přidána možnost Omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Zákazníci bez licence Docker Desktop mohou používat nástroj pro správu kontejnerů s otevřeným zdrojovým kódem, jako je Podman Desktop, ke spouštění, správě a vytváření kontejnerů. Podrobnosti najdete v části Spuštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop .

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Jednoduchý název kms-private-key použijte ke značkování certifikátu, soukromého klíče a všech certifikátů mezi nimi k nahrání.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud dojde k tomuto problému, problém vyřeší obejití provozu (nikoliv kontrola) do wbx2.com a ciscospark.com .

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy plnohodnotných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a veškeré mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu username@DOMAIN v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve formuláři : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxSize: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Chcete-li vypnout nástroj pro nastavení, zadejte CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO konfigurace nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Ve webovém prohlížeči zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup , zadejte pověření správce, které jste pro uzel nastavili, a klikněte na tlačítko Přihlásit se.

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro své nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda si uživatel nejprve zřizuje zabezpečený kanál do KMS, filtrujte na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrujte podle kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte podle kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO), když je vytvořen prostor nebo jiný chráněný zdroj, filtrujte podle kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud nemáte licenci Docker Desktop, můžete použít aplikaci Podman Desktop ke spuštění nástroje pro nastavení HDS pro kroky 1.a až 1.e v níže uvedeném postupu. Podrobnosti najdete v části Spuštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop .

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    docker pull ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Chcete-li vypnout nástroj pro nastavení, zadejte CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a vyhledejte umístění, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Spouštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop

Podman je svobodný nástroj pro správu kontejnerů s otevřeným zdrojovým kódem, který umožňuje spouštět, spravovat a vytvářet kontejnery. Aplikaci Podman Desktop lze stáhnout z aplikace https://podman-desktop.io/downloads.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Chcete-li získat přístup, stáhněte si a spusťte Podman na tomto počítači. Proces nastavení vyžaduje pověření účtu Control Hub s plnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

podman rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

podman login docker.io -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

podman pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

Co dělat dál

Chcete-li vytvořit nebo změnit konfiguraci ISO, postupujte podle zbývajících kroků v části Vytvořit konfiguraci ISO pro hostitele HDS nebo Změnit konfiguraci uzlu .

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -in hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-private-key.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Soubor hdsnode.p12 a heslo, které jste pro něj nastavili, použijete v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak konfigurovat různé verze Squid tak, aby ignorovaly wss: provoz pro správné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol směrnici do: squid.conf

on_unsupported_protocol tunnel all

Chobotnice 3.5.27

Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly, která byla přidána do části squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nastavení hybridního clusteru zabezpečení dat

Postup úlohy nasazení hybridního zabezpečení dat

Než začnete

1

Proveďte počáteční nastavení a stáhněte instalační soubory

Stáhněte si soubor OVA do svého lokálního počítače pro pozdější použití.

2

Vytvořte konfigurační ISO soubor pro hostitele HDS

Pomocí nástroje HDS Setup Tool vytvořte konfigurační soubor ISO pro uzly Hybrid Data Security.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace síťových nastavení během nasazení OVA byla testována s ESXi 7.0 a 8.0. Tato možnost nemusí být k dispozici v dřívějších verzích.

4

Nastavení virtuálního počítače s hybridním zabezpečením dat

Přihlaste se do konzole virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte síťová nastavení pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

5

Nahrajte a připojte ISO soubor s konfigurací HDS

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje HDS Setup Tool.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy serveru do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako uzel hybridního zabezpečení dat.

8

Vytvořte a zaregistrujte další uzly

Dokončete nastavení clusteru.

9

Aktivujte Multi-Tenant HDS v centru pro partnery.

Aktivujte HDS a spravujte organizace klientů v centru Partner Hub.

Proveďte počáteční nastavení a stáhněte instalační soubory

V tomto úkolu stáhnete soubor OVA do svého počítače (ne na servery, které jste nastavili jako uzly Hybrid Data Security). Tento soubor použijete později v procesu instalace.

1

Přihlaste se do Centra partnerů a poté klikněte na Služby.

2

V části Cloudové služby vyhledejte kartu Hybridní zabezpečení dat a poté klikněte na Nastavit.

Kliknutí na Nastavit v centru pro partnery je pro proces nasazení zásadní. Nepokračujte v instalaci bez dokončení tohoto kroku.

3

Klikněte na Přidat zdroj a na kartě Instalace a konfigurace softwaru klikněte na [ Stáhnout soubor .OVA.

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími aktualizacemi Hybrid Data Security. To může způsobit problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

OVA si také můžete kdykoli stáhnout ze sekce Nápověda. Klikněte na Nastavení > Nápověda > Stáhněte si software pro hybridní zabezpečení dat.

Soubor OVA se automaticky začne stahovat. Uložte soubor na libovolné místo ve vašem počítači.
4

Volitelně můžete kliknutím na Zobrazit průvodce nasazením hybridního zabezpečení dat zkontrolovat, zda je k dispozici novější verze tohoto průvodce.

Vytvořte konfigurační ISO soubor pro hostitele HDS

Proces instalace hybridního zabezpečení dat vytvoří soubor ISO. Poté použijete ISO soubor ke konfiguraci hostitele Hybrid Data Security.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžném prostředí s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro instalaci nepodporuje připojení k localhostu prostřednictvím http://localhost:8080. Pro připojení k localhostu použijte http://127.0.0.1:8080.

Pomocí webového prohlížeče přejděte na localhost, http://127.0.0.1:8080a na výzvu zadejte uživatelské jméno administrátora pro Partner Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní přihlašovací výzvu.

7

Po zobrazení výzvy zadejte své přihlašovací údaje správce Centra partnerů a poté kliknutím na Přihlásit se povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem nástroje pro nastavení klikněte na Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne—Pokud vytváříte svůj první uzel HDS, nemusíte nahrávat soubor ISO.
  • Ano—Pokud jste již vytvořili uzly HDS, vyberte v procházení soubor ISO a nahrajte jej.
10

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

  • Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na Pokračovat.
  • Pokud je váš certifikát v pořádku, klikněte na Pokračovat.
  • Pokud váš certifikát vypršel nebo jej chcete nahradit, vyberte možnost Ne u možnosti Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozího certifikátu ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na Pokračovat.
11

Zadejte adresu databáze a účet, pro který bude HDS mít přístup k vašemu úložišti klíčů:

  1. Vyberte typ databáze(PostgreSQL nebo Microsoft SQL Server).

    Pokud zvolíte Microsoft SQL Server, zobrazí se pole Typ ověřování.

  2. (pouze pro Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno je potřeba název lokálního účtu SQL Serveru.

    • Ověřování systému Windows: V poli Uživatelské jméno potřebujete účet Windows ve formátu username@DOMAIN.

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pokud uzly nemohou k překladu názvu hostitele použít DNS, můžete pro základní ověřování použít IP adresu.

    Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte Název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními k databázi úložiště klíčů.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim není použitelný pro databáze SQL Serveru.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po navázání TLS připojení uzel porovnává podepisujícího certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po navázání TLS připojení uzel porovnává podepisujícího certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel a port databáze. Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Vzhledem k rozdílům v konektivitě mohou být uzly HDS schopny navázat připojení TLS, i když počítač s nástrojem HDS Setup Tool jej nedokáže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte URL adresu serveru syslog.

    Pokud server není rozpoznatelný pomocí DNS z uzlů vašeho clusteru HDS, použijte v URL IP adresu.

    Příklad:
    udp://10.92.43.23:514 indikuje protokolování k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste nastavili server pro používání šifrování TLS, zkontrolujte Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, ujistěte se, že zadáváte adresu URL protokolu TCP, například tcp://10.92.43.23:514.

  3. V rozbalovací nabídce Zvolit ukončení záznamu syslogu vyberte příslušné nastavení pro váš soubor ISO: Pro Graylog a Rsyslog TCP se používá Choose nebo Newline.

    • Nulový bajt -- \x00

    • Nový řádek -- \n—Vyberte tuto možnost pro Graylog a Rsyslog TCP.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v Rozšířené nastavení. Obecně platí, že tento parametr je jediný, který byste mohli chtít změnit:

app_datasource_connection_pool_maxSize: 10
15

Klikněte na Pokračovat na obrazovce Obnovit heslo servisních účtů.

Hesla k servisním účtům mají devětměsíční životnost. Tuto obrazovku použijte, když se blíží konec platnosti vašich hesel nebo když je chcete resetovat, aby se zneplatnily předchozí soubory ISO.

16

Klikněte na Stáhnout soubor ISO. Uložte soubor na snadno dostupné místo.

17

Vytvořte záložní kopii souboru ISO na vašem lokálním systému.

Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce hybridní ochrany dat, kteří by měli provádět změny konfigurace.

18

Chcete-li nástroj Instalace ukončit, zadejte CTRL+C.

Co dělat dál

Zálohujte konfigurační ISO soubor. Potřebujete ho k vytvoření dalších uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.

Nikdy nemáme kopii tohoto klíče a nemůžeme vám pomoci, pokud ho ztratíte.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Pro přihlášení k virtuálnímu hostiteli ESXi použijte klienta VMware vSphere na vašem počítači.

2

Vyberte Soubor > Nasazení šablony OVF.

3

V průvodci zadejte umístění souboru OVA, který jste si dříve stáhli, a poté klikněte na tlačítko Další.

4

Na stránce Vyberte název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), vyberte umístění, kde se může nacházet nasazení uzlu virtuálního počítače, a poté klikněte na Další.

5

Na stránce Vyberte výpočetní zdroj vyberte cílový výpočetní zdroj a poté klikněte na Další.

Proběhne ověřovací kontrola. Po dokončení se zobrazí podrobnosti šablony.

6

Ověřte podrobnosti šablony a poté klikněte na Další.

7

Pokud budete na stránce Konfigurace vyzváni k výběru konfigurace zdrojů, klikněte na 4 CPU a poté klikněte na Další.

8

Na stránce Vybrat úložiště klikněte na Další a potvrďte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě, která zajistí požadované připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující síťová nastavení:

  • Název hostitele– Zadejte FQDN (název hostitele a doménu) nebo jednoslovný název hostitele pro uzel.

    • Není nutné nastavovat doménu tak, aby se shodovala s doménou, kterou jste použili k získání certifikátu X.509.

    • Aby byla registrace do cloudu úspěšná, používejte v plně kvalifikovaném názvu domény (FQDN) nebo názvu hostitele, který jste pro uzel nastavili, pouze malá písmena. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa— Zadejte IP adresu interního rozhraní uzlu.

    Váš uzel by měl mít interní IP adresu a DNS název. DHCP není podporováno.

  • Maska– Zadejte adresu masky podsítě v desítkovém zápisu s tečkami. Například 255.255.255.0.
  • Brána– Zadejte IP adresu brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • DNS servery– Zadejte seznam DNS serverů oddělených čárkami, které převádějí názvy domén na číselné IP adresy. (Povoleny jsou až 4 záznamy DNS.)
  • NTP servery– Zadejte NTP server vaší organizace nebo jiný externí NTP server, který lze ve vaší organizaci použít. Výchozí NTP servery nemusí fungovat pro všechny podniky. Více serverů NTP můžete zadat také pomocí seznamu odděleného čárkami.

  • Nasaďte všechny uzly ve stejné podsíti nebo síti VLAN, aby všechny uzly v clusteru byly pro administrativní účely dostupné z klientů ve vaší síti.

Pokud chcete, můžete konfiguraci síťových nastavení přeskočit a postupovat podle kroků v části Nastavení virtuálního počítače Hybrid Data Security a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace síťových nastavení během nasazení OVA byla testována s ESXi 7.0 a 8.0. Tato možnost nemusí být k dispozici v dřívějších verzích.

11

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a poté vyberte Napájení > Zapnutí.

Software Hybrid Data Security je nainstalován jako host na hostiteli virtuálního počítače. Nyní jste připraveni se přihlásit do konzole a nakonfigurovat uzel.

Tipy pro řešení potíží

Než se kontejnery uzlů načtou, může dojít k několikaminutovému zpoždění. Během prvního spuštění se na konzoli zobrazí zpráva o firewallu mostu, během které se nelze přihlásit.

Nastavení virtuálního počítače s hybridním zabezpečením dat

Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače uzlu Hybrid Data Security a nastavte přihlašovací údaje. Konzolu můžete také použít ke konfiguraci síťových nastavení pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

1

V klientovi VMware vSphere vyberte virtuální počítač uzlu Hybrid Data Security a vyberte kartu Konzola.

Virtuální počítač se spustí a zobrazí se přihlašovací výzva. Pokud se výzva k přihlášení nezobrazí, stiskněte Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlašovací jméno a heslo:

  1. Přihlášení: admin

  2. Heslo: cisco

Protože se k virtuálnímu počítači přihlašujete poprvé, je nutné změnit heslo správce.

3

Pokud jste již nakonfigurovali síťová nastavení v části Instalace HDS Host OVA, zbytek tohoto postupu přeskočte. Jinak v hlavní nabídce vyberte možnost Upravit konfiguraci.

4

Nastavte statickou konfiguraci s IP adresou, maskou, bránou a informacemi o DNS. Váš uzel by měl mít interní IP adresu a DNS název. DHCP není podporováno.

5

(Volitelné) V případě potřeby změňte název hostitele, doménu nebo server(y) NTP tak, aby odpovídaly vašim síťovým zásadám.

Není nutné nastavovat doménu tak, aby se shodovala s doménou, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrajte a připojte ISO soubor s konfigurací HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje HDS Setup Tool.

Než začnete

Protože soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě „potřeby vědět“ pro přístup virtuálních počítačů Hybrid Data Security a všech správců, kteří by mohli potřebovat provést změny. Ujistěte se, že k úložišti dat mají přístup pouze tito administrátoři.

1

Nahrajte soubor ISO z počítače:

  1. V levém navigačním panelu klienta VMware vSphere klikněte na server ESXi.

  2. V seznamu Hardware na kartě Konfigurace klikněte na Úložiště.

  3. V seznamu datových úložišť klikněte pravým tlačítkem myši na datové úložiště pro vaše virtuální počítače a klikněte na Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubor a poté klikněte na Nahrát soubor.

  5. Přejděte do umístění, kam jste si stáhli soubor ISO, a klikněte na Otevřít.

  6. Klikněte na Ano pro potvrzení upload/download varování před operací a zavřete dialogové okno úložiště dat.

2

Připojte soubor ISO:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK potvrďte varování o omezených možnostech úprav.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost připojení ze souboru ISO z úložiště dat a přejděte do umístění, kam jste nahráli soubor ISO s konfigurací.

  4. Zkontrolujte Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše IT zásady vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny vaše uzly převezmou změny konfigurace. Podrobnosti viz (Volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte URL adresu pro nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup do webového prohlížeče, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a poté klikněte na Přihlásit se.

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Bez proxy—Výchozí možnost před integrací proxy. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolující proxy— Uzly nejsou konfigurovány pro použití konkrétní adresy proxy serveru a pro práci s nekontrolujícím proxy by neměly vyžadovat žádné změny. Není nutná žádná aktualizace certifikátu.
  • Transparentní kontrola proxy—Uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy— S explicitní proxy sdělíte klientovi (uzlům HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. Proxy IP/FQDN—Adresa, kterou lze použít pro přístup k proxy počítači.

    2. Proxy port— Číslo portu, které proxy používá k naslouchání proxy provozu.

    3. Proxy protokol— Vyberte http (zobrazuje a řídí všechny požadavky přijaté od klienta) nebo https (poskytuje kanál serveru a klient přijímá a ověřuje certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování– Vyberte z následujících typů ověřování:

      • Žádné—Není vyžadováno žádné další ověřování.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní— Používá se pro HTTP User Agent k poskytnutí uživatelského jména a hesla při odesílání požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Souhrn— Slouží k ověření účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že se jedná o chybu, proveďte tyto kroky a poté si přečtěte část Vypnutí režimu blokování externího rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha vezme generický uzel, který jste vytvořili v části Nastavení virtuálního počítače Hybrid Data Security, zaregistruje jej v cloudu Webex a přemění jej na uzel Hybrid Data Security.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Klastr obsahuje jeden nebo více uzlů nasazených za účelem zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut, jinak budete muset začít znovu.

  • Ujistěte se, že máte ve svém prohlížeči zakázáno blokování vyskakovacích oken nebo že máte povolenou výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte Služby.

3

V sekci Cloudové služby vyhledejte kartu Hybridní zabezpečení dat a klikněte na Nastavit.

4

Na stránce, která se otevře, klikněte na Přidat zdroj.

5

Do prvního pole karty Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit uzel Hybrid Data Security.

Doporučujeme pojmenovat cluster na základě geografické polohy uzlů clusteru. Příklady: „San Francisco“, „New York“ nebo „Dallas“

6

Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat v dolní části obrazovky.

Tato IP adresa nebo plně kvalifikovaný název domény by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Nastavení virtuálního počítače Hybrid Data Security.

Zobrazí se zpráva s oznámením, že můžete zaregistrovat svůj uzel do Webexu.
7

Klikněte na Přejít na uzel.

Po chvíli budete přesměrováni na testy připojení uzlů pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k uzlu hybridního zabezpečení dat. Tam potvrdíte, že chcete své organizaci Webex udělit oprávnění k přístupu k vašemu uzlu.

8

Zaškrtněte políčko Povolit přístup k uzlu hybridního zabezpečení dat a poté klikněte na Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ označuje, že váš uzel je nyní zaregistrován v cloudu Webex.
9

Klikněte na odkaz nebo zavřete kartu a vraťte se na stránku Zabezpečení hybridních dat v centru pro partnery.

Na stránce Hybridní zabezpečení dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel si automaticky stáhne nejnovější software z cloudu.

Vytvořte a zaregistrujte další uzly

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a poté uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut, jinak budete muset začít znovu.

  • Ujistěte se, že máte ve svém prohlížeči zakázáno blokování vyskakovacích oken nebo že máte povolenou výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA opakováním kroků v části Instalace OVA hostitele HDS.

2

Nastavte počáteční konfiguraci na novém virtuálním počítači opakováním kroků v části Nastavení virtuálního počítače s hybridním zabezpečením dat.

3

Na novém virtuálním počítači opakujte kroky v části Nahrání a připojení ISO souboru s konfigurací HDS.

4

Pokud pro nasazení nastavujete proxy server, opakujte kroky v části Konfigurace uzlu HDS pro integraci proxy serveru podle potřeby pro nový uzel.

5

Zaregistrujte uzel.

  1. V nabídce https://admin.webex.comvyberte na levé straně obrazovky možnost Služby.

  2. V sekci Cloudové služby vyhledejte kartu Hybridní zabezpečení dat a klikněte na Zobrazit vše.

    Zobrazí se stránka Zdroje hybridního zabezpečení dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje.

  4. Kliknutím na cluster zobrazíte uzly přiřazené clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete zaregistrovat svůj uzel do cloudu Webex. Po chvíli budete přesměrováni na testy připojení uzlů pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k uzlu hybridního zabezpečení dat. Tam potvrdíte, že chcete své organizaci udělit oprávnění k přístupu k vašemu uzlu.

  7. Zaškrtněte políčko Povolit přístup k uzlu hybridního zabezpečení dat a poté klikněte na Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ označuje, že váš uzel je nyní zaregistrován v cloudu Webex.

  8. Klikněte na odkaz nebo zavřete kartu a vraťte se na stránku Zabezpečení hybridních dat v centru pro partnery.

    V dolní části obrazovky v centru pro partnery se také zobrazí vyskakovací zprávaUzel přidán.

    Váš uzel je zaregistrován.

Správa organizací klientů v rámci hybridního zabezpečení dat pro více klientů

Aktivace Multi-Tenant HDS v centru pro partnery

Tento úkol zajišťuje, že všichni uživatelé zákaznických organizací mohou začít využívat HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Ujistěte se, že jste dokončili nastavení clusteru Multi-Tenant HDS s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte Služby.

3

V sekci Cloudové služby vyhledejte Hybridní zabezpečení dat a klikněte na Upravit nastavení.

4

Klikněte na Aktivovat HDS na kartě Stav HDS.

Přidání organizací klientů v centru pro partnery

V tomto úkolu přiřadíte zákaznické organizace ke svému hybridnímu clusteru zabezpečení dat.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte Služby.

3

V sekci Cloudové služby vyhledejte Hybridní zabezpečení dat a klikněte na Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na Přidat zákazníky.

7

Z rozbalovací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na Přidat, zákazník bude přidán do clusteru.

9

Opakujte kroky 6 až 8 pro přidání více zákazníků do clusteru.

10

Po přidání zákazníků klikněte na Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj HDS Setup, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje HDS Setup, abyste dokončili proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje HDS Setup

Než začnete

Přiřaďte zákazníky do příslušného clusteru, jak je podrobně popsáno v Přidání organizací klientů v centru pro partnery. Spusťte nástroj HDS Setup a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje přihlašovací údaje účtu Partner Hub s plnými administrátorskými právy pro vaši organizaci.

    Pokud nástroj HDS Setup ve vašem prostředí běží za proxy serverem, zadejte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při spouštění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Vygenerovaný konfigurační soubor ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Nejnovější kopii tohoto souboru potřebujete vždy, když provádíte změny konfigurace, například tyto:

    • Přihlašovací údaje k databázi

    • Aktualizace certifikátů

    • Změny v autorizačních zásadách

  • Pokud plánujete šifrovat databázová připojení, nastavte si protokol TLS v nasazení PostgreSQL nebo SQL Serveru.

Proces instalace hybridního zabezpečení dat vytvoří soubor ISO. Poté použijete ISO soubor ke konfiguraci hostitele Hybrid Data Security.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžném prostředí s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro instalaci nepodporuje připojení k localhostu prostřednictvím http://localhost:8080. Pro připojení k localhostu použijte http://127.0.0.1:8080.

Pomocí webového prohlížeče přejděte na localhost, http://127.0.0.1:8080a na výzvu zadejte uživatelské jméno administrátora pro Partner Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní přihlašovací výzvu.

7

Po zobrazení výzvy zadejte své přihlašovací údaje správce Centra partnerů a poté kliknutím na Přihlásit se povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem nástroje pro nastavení klikněte na Začínáme.

9

Na stránce Import ISO klikněte na Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Zajistěte připojení k databázi pro správu CMK.
11

Přejděte na kartu Správa CMK nájemníků, kde najdete následující tři způsoby správy CMK nájemníků.

  • Vytvořit CMK pro všechny ORG nebo Vytvořit CMK – Kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat klíče CMK na pravé straně obrazovky a kliknutím na Vytvořit klíče CMK vytvořte klíče CMK pro všechny nově přidané organizace.
  • Klikněte na … vedle stavu čekání na správu CMK konkrétní organizace v tabulce a kliknutím na Vytvořit CMK vytvořte CMK pro danou organizaci.
12

Jakmile je vytvoření CMK úspěšné, stav v tabulce se změní z správa CMK čeká na vyřízení na CMK spravováno.

13

Pokud se vytvoření CMK nezdaří, zobrazí se chyba.

Odebrat organizace nájemníků

Než začnete

Po odebrání nebudou moci uživatelé zákaznických organizací využívat HDS pro své šifrovací potřeby a přijdou o všechny stávající prostory. Před odebráním organizací zákazníků se prosím obraťte na svého partnera Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte Služby.

3

V sekci Cloudové služby vyhledejte Hybridní zabezpečení dat a klikněte na Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na stránce, která se otevře, klikněte na Přiřazení zákazníci.

6

V zobrazeném seznamu organizací zákazníků klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením klíčových identifikátorů (CMK) zákaznických organizací, jak je podrobně popsáno v části Zrušení klíčových identifikátorů (CMK) nájemníků odebraných z HDS.

Zrušit klíčová jména (CMK) nájemníků odstraněných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v Odebrání organizací klientů. Spusťte nástroj HDS Setup a dokončete proces odebrání odebraných zákaznických organizací.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje přihlašovací údaje účtu Partner Hub s plnými administrátorskými právy pro vaši organizaci.

    Pokud nástroj HDS Setup ve vašem prostředí běží za proxy serverem, zadejte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při spuštění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Vygenerovaný konfigurační soubor ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Nejnovější kopii tohoto souboru potřebujete vždy, když provádíte změny konfigurace, například tyto:

    • Přihlašovací údaje k databázi

    • Aktualizace certifikátů

    • Změny v autorizačních zásadách

  • Pokud plánujete šifrovat databázová připojení, nastavte si protokol TLS v nasazení PostgreSQL nebo SQL Serveru.

Proces instalace hybridního zabezpečení dat vytvoří soubor ISO. Poté použijete ISO soubor ke konfiguraci hostitele Hybrid Data Security.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžném prostředí s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro instalaci nepodporuje připojení k localhostu prostřednictvím http://localhost:8080. Pro připojení k localhostu použijte http://127.0.0.1:8080.

Pomocí webového prohlížeče přejděte na localhost, http://127.0.0.1:8080a na výzvu zadejte uživatelské jméno administrátora pro Partner Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní přihlašovací výzvu.

7

Po zobrazení výzvy zadejte své přihlašovací údaje správce Partner Hubu a poté kliknutím na Přihlásit se povolte přístup k požadovaným službám pro Hybrid Data Security.

8

Na stránce s přehledem nástroje pro nastavení klikněte na Začínáme.

9

Na stránce Import ISO klikněte na Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK nájemníků, kde najdete následující tři způsoby správy CMK nájemníků.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – Kliknutím na toto tlačítko v banneru v horní části obrazovky zrušíte CMK všech odebraných organizací.
  • Klikněte na tlačítko Spravovat klíče CMK na pravé straně obrazovky a klikněte na Zrušit klíče CMK pro zrušení klíčů CMK všech odebraných organizací.
  • Klikněte na poblíž stavu CMK k odvolání konkrétní organizace v tabulce a klikněte na Zrušit CMK pro zrušení CMK pro danou organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již v tabulce nezobrazí.

13

Pokud se zrušení CMK nezdaří, zobrazí se chyba.

Nové a změněné informace

Nové a změněné informace

Tato tabulka popisuje nové funkce, změny stávajícího obsahu a všechny hlavní chyby, které byly opraveny v Průvodci nasazením hybridního zabezpečení dat pro více klientů.

Datum

Provedené změny

8. května 2025
4. března 2025

30. ledna 2025

Do seznamu podporovaných serverů SQL přidán SQL server verze 2022 v požadavky na databázový server.

15. ledna 2025

Přidána omezení zabezpečení hybridních dat pro více klientů.

8. ledna 2025

V části Provést počáteční nastavení a stáhnout instalační soubory byla přidána poznámka, že kliknutí na Nastavit na kartě HDS v centru pro partnery je důležitým krokem instalačního procesu.

7. ledna 2025

Aktualizovány požadavky na virtuální hostitele, postup úlohy nasazení hybridního zabezpečení data instalace OVA pro hostitele HDS s ohledem na nové požadavky ESXi 7.0.

13. prosince 2024

Poprvé publikováno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace vícenájemného HDS

Chcete-li službu Multi-Tenant HDS zcela deaktivovat, postupujte podle těchto kroků.

Než začnete

Tento úkol by měl provádět pouze správce partnera s plnými oprávněními.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušte klíče CMK všech zákazníků, jak je uvedeno v Zrušte klíče CMK nájemníků odebraných z HDS..

3

Odeberte všechny uzly ze všech clusterů, jak je uvedeno v Odebrání uzlu.

4

Odstraňte všechny clustery z Centra partnerů pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a v pravém horním rohu stránky s přehledem vyberte Odstranit tento cluster.
  • Na stránce Zdroje klikněte na … na pravé straně clusteru a vyberte Odebrat cluster.
5

Na stránce s přehledem hybridního zabezpečení dat klikněte na kartu Nastavení a na kartě Stav HDS klikněte na Deaktivovat HDS.

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Od prvního dne byla bezpečnost dat hlavním zaměřením při navrhování aplikace Webex. Základním kamenem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňují klienti aplikace Webex interagující se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex k dispozici end-to-end šifrování s dynamickými klíči uloženými v cloudové službě správy klíčů (KMS) v bezpečnostní sféře společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Multi-Tenant Hybrid Data Security umožňuje organizacím využívat HDS prostřednictvím důvěryhodného místního partnera, který může fungovat jako poskytovatel služeb a spravovat lokální šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje, že uživatelská data zákaznických organizací jsou v bezpečí před externím přístupem. Partnerské organizace nastavují instance HDS a vytvářejí clustery HDS podle potřeby. Každá instance může podporovat více zákaznických organizací, na rozdíl od běžného nasazení HDS, které je omezeno na jednu organizaci.

Partnerské organizace sice mají kontrolu nad nasazením a správou, ale nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože správa klíčů a bezpečnostní infrastruktura, jako jsou datová centra, jsou vlastněny důvěryhodným místním partnerem.

Jak hybridní zabezpečení dat pro více klientů zajišťuje datovou suverenitu a kontrolu nad daty

  • Uživatelsky generovaný obsah je chráněn před externím přístupem, například od poskytovatelů cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, se kterými již mají navázaný vztah.
  • Možnost místní technické podpory, pokud ji partner poskytuje.
  • Podporuje obsah pro schůzky, zasílání zpráv a volání.

Tento dokument má pomoci partnerským organizacím s nastavením a správou zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v Control Hubu žádné aktivní nasazení HDS.
  • Organizace nájemců nebo zákazníků, které si přejí být spravovány partnerem, nesmí mít v Control Hubu žádné stávající nasazení HDS.
  • Jakmile partner nasadí Multi-Tenant HDS, začnou všichni uživatelé zákaznických organizací i uživatelé partnerské organizace využívat Multi-Tenant HDS pro své šifrovací služby.

    Partnerská organizace a zákaznické organizace, které spravují, budou na stejném nasazení Multi-Tenant HDS.

    Partnerská organizace po nasazení Multi-Tenant HDS již nebude používat cloudovou službu KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do Cloud KMS po nasazení HDS.
  • V současné době může mít každé nasazení Multi-Tenant HDS pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení; podrobnosti naleznete v níže uvedené části.

Role v hybridním zabezpečení dat pro více klientů

  • Plný správce partnera – Může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – Může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli přiřazeni uživateli.
  • Úplný správce – Správce partnerské organizace, který je oprávněn provádět úkoly, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Komplexní nastavení a správa vícenájemnického HDS pro všechny zákaznické organizace - Vyžaduje se partner s plnou administrátorskou právy a plná administrátorská práva.
  • Správa přiřazených organizací nájemníků - Vyžadován partnerský správce a plná administrátorská práva.

Architektura bezpečnostní sféry

Cloudová architektura Webexu odděluje různé typy služeb do samostatných sfér neboli domén důvěryhodnosti, jak je znázorněno níže.

Říše oddělení (bez hybridního zabezpečení dat)

Abychom lépe pochopili hybridní zabezpečení dat, podívejme se nejprve na tento čistě cloudový případ, kde Cisco poskytuje všechny funkce ve svých cloudových oblastech. Služba identity, jediné místo, kde mohou být uživatelé přímo propojeni se svými osobními údaji, jako je e-mailová adresa, je logicky i fyzicky oddělená od bezpečnostní sféry v datovém centru B. Obě jsou zase oddělené od sféry v datovém centru C, kde je šifrovaný obsah nakonec uložen.

V tomto diagramu je klientem aplikace Webex spuštěná na notebooku uživatele, která se ověřila pomocí služby identity. Když uživatel napíše zprávu k odeslání do prostoru, proběhnou následující kroky:

  1. Klient naváže zabezpečené připojení se službou správy klíčů (KMS) a poté si vyžádá klíč k zašifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je před odesláním od klienta zašifrována. Klient jej odešle indexační službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.

  3. Zašifrovaná zpráva je odeslána službě pro kontrolu shody s předpisy.

  4. Zašifrovaná zpráva je uložena v úložné oblasti.

Při nasazení hybridního zabezpečení dat přesunete funkce zabezpečení (KMS, indexování a dodržování předpisů) do svého místního datového centra. Ostatní cloudové služby, které tvoří Webex (včetně ukládání identit a obsahu), zůstávají v gesci společnosti Cisco.

Spolupráce s dalšími organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který vlastní vaše organizace (protože jej vytvořil jeden z vašich uživatelů), vaše KMS odešle klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč k danému prostoru vlastní jiná organizace, vaše KMS směruje požadavek do cloudu Webex přes samostatný kanál ECDH, aby získala klíč z příslušné KMS, a poté jej vrátí vašemu uživateli na původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení ke systémům KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů naleznete v článku Příprava prostředí.

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné úsilí a povědomí o rizicích, která s sebou nese vlastnictví šifrovacích klíčů.

Pro nasazení hybridního zabezpečení dat je nutné poskytnout:

  • Bezpečné datové centrum v zemi, která je podporovaným místem pro plány Cisco Webex Teams.

  • Zařízení, software a přístup k síti popsané v Příprava prostředí.

Úplná ztráta buď konfiguračního ISO souboru, který vytvoříte pro Hybrid Data Security, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče brání uživatelům v dešifrování obsahu prostoru a dalších šifrovaných dat v aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, ale viditelný bude pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovu databáze a konfiguračního ISO souboru.

  • Buďte připraveni provést rychlou obnovu po havárii, pokud dojde ke katastrofě, jako je selhání disku databáze nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení hybridního zabezpečení dat– To zahrnuje přípravu potřebné infrastruktury a instalaci softwaru pro hybridní zabezpečení dat, vytvoření clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníků (CMK). Díky tomu budou moci všichni uživatelé vašich zákaznických organizací používat váš cluster Hybrid Data Security pro bezpečnostní funkce.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v následujících třech kapitolách.

  • Udržujte své nasazení hybridního zabezpečení dat— Cloud Webex automaticky poskytuje průběžné aktualizace. Vaše IT oddělení může pro toto nasazení poskytnout podporu první úrovně a v případě potřeby zapojit podporu společnosti Cisco. V Centru pro partnery můžete používat oznámení na obrazovce a nastavit si e-mailová upozornění.

  • Pochopte běžná upozornění, kroky pro řešení problémů a známé problémy– Pokud narazíte na potíže s nasazením nebo používáním Hybrid Data Security, poslední kapitola této příručky a dodatek Známé problémy vám mohou pomoci problém určit a vyřešit.

Hybridní model nasazení zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jeden cluster uzlů na samostatných virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových soketů a zabezpečeného HTTP.

Během instalace vám poskytneme soubor OVA pro nastavení virtuálního zařízení na vámi poskytnutých virtuálních počítačích. Nástroj HDS Setup Tool slouží k vytvoření vlastního souboru ISO s konfigurací clusteru, který se připojí ke každému uzlu. Cluster Hybrid Data Security používá vámi poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi a protokolu Syslogd nakonfigurujete v nástroji HDS Setup Tool.)

Hybridní model nasazení zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, je dva. Doporučujeme alespoň tři na cluster. Více uzlů zajišťuje, že během aktualizace softwaru nebo jiné údržby uzlu nedojde k přerušení služby. (Cloud Webex upgraduje vždy pouze jeden uzel.)

Všechny uzly v clusteru přistupují ke stejnému úložišti klíčů a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bezstavové a zpracovávají klíčové požadavky v režimu round robin podle pokynů cloudu.

Uzly se aktivují, když je zaregistrujete v Centru pro partnery. Chcete-li vyřadit jednotlivý uzel z provozu, můžete jej zrušit a v případě potřeby jej později znovu zaregistrovat.

Záložní datové centrum pro zotavení po havárii

Během nasazení si nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout nasazení do záložního datového centra.

Před failoverem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco datové centrum B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači registrovanými v organizaci a záložní databází. Po přepnutí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco datové centrum A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční přepnutí do záložního datového centra

Databáze aktivních a záložních datových center jsou vzájemně synchronizované, což minimalizuje dobu potřebnou k provedení failoveru.

Aktivní uzly Hybrid Data Security musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Bez proxy– Výchozí nastavení, pokud nepoužíváte úložiště důvěryhodných dat pro nastavení uzlu HDS. & Konfigurace proxy serveru pro integraci proxy serveru. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolující proxy— Uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a pro práci s nekontrolujícím proxy by neměly vyžadovat žádné změny. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy— Uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy— S explicitní proxy sdělíte uzlům HDS, který proxy server a schéma ověřování mají použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. Proxy IP/FQDN—Adresa, kterou lze použít pro přístup k proxy počítači.

    2. Proxy port— Číslo portu, které proxy používá k naslouchání proxy provozu.

    3. Proxy protokol– V závislosti na tom, co váš proxy server podporuje, vyberte si z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování– Vyberte z následujících typů ověřování:

      • Žádné—Není vyžadováno žádné další ověřování.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní— Používá se pro HTTP User Agent k poskytnutí uživatelského jména a hesla při odesílání požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Souhrn— Slouží k ověření účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na zabezpečení hybridních dat pro více klientů

Požadavky na licenci Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera Cisco nebo správce účtu a ujistěte se, že je povolena funkce Multi-Tenant.

  • Organizace nájemců: Pro Cisco Webex Control Hub musíte mít Pro Pack. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky na Docker Desktop

Před instalací uzlů HDS potřebujete Docker Desktop ke spuštění instalačního programu. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Zákazníci bez licence Docker Desktop mohou ke spouštění, správě a vytváření kontejnerů používat nástroj pro správu kontejnerů s otevřeným zdrojovým kódem, jako je Podman Desktop. Podrobnosti viz Spuštění nástroje HDS Setup pomocí Podman Desktop.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou (CA)

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu Mozilly (s výjimkou WoSign a StartCom) na adrese https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény Common Name (CN), který identifikuje vaše nasazení Hybrid Data Security.

  • Není to zástupný certifikát

CN nemusí být dosažitelný ani se jedná o aktivního hostitele. Doporučujeme použít název, který odpovídá vaší organizaci, například hds.company.com.

CN nesmí obsahovat * (zástupný znak).

CN se používá k ověření uzlů Hybrid Data Security pro klienty aplikace Webex. Všechny uzly Hybrid Data Security ve vašem clusteru používají stejný certifikát. Vaše KMS se identifikuje pomocí domény CN, nikoliv pomocí jakékoli domény definované v polích SAN x.509v3.

Jakmile zaregistrujete uzel s tímto certifikátem, nepodporujeme změnu názvu domény CN.

  • Podpis jiný než SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako PKCS chráněný heslem #12 soubor

  • Použijte popisný název kms-private-key k označení certifikátu, soukromého klíče a všech mezilehlých certifikátů, které chcete nahrát.

Pro změnu formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje HDS Setup Tool budete muset zadat heslo.

Software KMS nevynucuje používání klíčů ani rozšířená omezení používání klíčů. Některé certifikační autority vyžadují, aby na každý certifikát byla aplikována rozšířená omezení použití klíčů, například ověřování serveru. Je v pořádku použít ověřování serveru nebo jiná nastavení.

Požadavky na virtuální hostitele

Virtuální hostitelé, které nastavíte jako uzly Hybrid Data Security ve vašem clusteru, mají následující požadavky:

  • Alespoň dva samostatní hostitelé (doporučeno 3) umístění ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný VMware ESXi 7.0 nebo 8.0.

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místa na místním pevném disku na server

Požadavky na databázový server

Vytvořte novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Požadavky pro každý z nich jsou následující:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 nebo 16, nainstalovaný a spuštěný.

  • Nainstalovaný SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    SQL Server 2016 vyžaduje Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 virtuálních procesorů (vCPU), 16 GB operační paměti, dostatek místa na pevném disku a monitorování, aby se zajistilo, že tato velikost nebude překročena (doporučuje se 2 TB, pokud chcete databázi provozovat po dlouhou dobu bez nutnosti zvětšovat úložiště).

Minimálně 8 virtuálních procesorů (vCPU), 16 GB operační paměti, dostatek místa na pevném disku a monitorování, aby se zajistilo, že tato velikost nebude překročena (doporučuje se 2 TB, pokud chcete databázi provozovat po dlouhou dobu bez nutnosti zvětšovat úložiště).

Software HDS aktuálně instaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Microsoft SQL Server

Ovladač Postgres JDBC 42.2.5

Ovladač JDBC pro SQL Server 4.6

Tato verze ovladače podporuje funkci SQL Server Always On ( instance clusteru Always On Failover a skupiny dostupnosti Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Pokud chcete, aby uzly HDS používaly ověřování systému Windows pro přístup k databázi úložiště klíčů na serveru Microsoft SQL Server, potřebujete ve svém prostředí následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytujete uzlům HDS, musí mít read/write přístup k databázi.

  • DNS servery, které poskytujete uzlům HDS, musí být schopny rozpoznat vaše centrum distribuce klíčů (KDC).

  • Instanci databáze HDS můžete na serveru Microsoft SQL Server zaregistrovat jako název hlavní služby (SPN) ve službě Active Directory. Viz Registrace názvu hlavní služby pro připojení Kerberos.

    Nástroj pro nastavení HDS, spouštěč HDS a lokální KMS musí pro přístup k databázi úložiště klíčů používat ověřování systému Windows. Používají podrobnosti z vaší konfigurace ISO k vytvoření názvu služby (SPN) při žádosti o přístup s ověřováním Kerberos.

Požadavky na externí připojení

Nakonfigurujte firewall tak, aby umožňoval následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Pokyny z aplikace

Cíl

Hybridní uzly zabezpečení dat

TCP

443

Odchozí HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL uvedené pro hybridní zabezpečení dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Uzly Hybrid Data Security fungují s překladem síťového přístupu (NAT) nebo za firewallem, pokud NAT nebo firewall umožňuje požadovaná odchozí připojení k cílovým doménám uvedeným v předchozí tabulce. Pro připojení směřující k uzlům Hybrid Data Security by z internetu neměly být viditelné žádné porty. V rámci vašeho datového centra potřebují klienti přístup k uzlům Hybrid Data Security na TCP portech 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Region

Běžné adresy URL hostitelů identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Proxy servery Squid, které kontrolují HTTPS provoz, mohou narušovat navazování websocketu. (wss:) spojení. Chcete-li tento problém obejít, přečtěte si Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, vyřeší se jeho obcházením (nekontrolováním) provozu do wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster Hybrid Data Security.
1

Ujistěte se, že vaše partnerská organizace má povolenou funkci Multi-Tenant HDS a získáte přihlašovací údaje účtu s plnými administrátorskými právy partnera a plnými administrátorskými právy. Ujistěte se, že vaše zákaznická organizace Webex má povolený balíček Pro Pack pro Cisco Webex Control Hub. S tímto procesem se obraťte na svého partnera Cisco nebo správce účtu.

Zákaznické organizace by neměly mít žádné stávající nasazení HDS.

2

Vyberte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny mezilehlé certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte si identické virtuální hostitele, které nastavíte jako uzly Hybrid Data Security ve vašem clusteru. Potřebujete alespoň dva samostatné hostitele (doporučeno 3) umístěné ve stejném zabezpečeném datovém centru, kteří splňují požadavky uvedené v Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude sloužit jako úložiště klíčových dat pro cluster, podle požadavků na databázový server. Databázový server musí být umístěn v zabezpečeném datovém centru společně s virtuálními hostiteli.

  1. Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi.) Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které budou uzly používat ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro uložení klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními k databázi úložiště klíčů

5

Pro rychlé zotavení po havárii si nastavte záložní prostředí v jiném datovém centru. Zálohovací prostředí zrcadlí produkční prostředí virtuálních počítačů a záložního databázového serveru. Například pokud má produkční prostředí 3 virtuální počítače s uzly HDS, mělo by mít i zálohovací prostředí 3 virtuální počítače.

6

Nastavte hostitele syslogu pro shromažďování protokolů z uzlů v clusteru. Získejte jeho síťovou adresu a port syslogu (výchozí je UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly Hybrid Data Security, databázový server a hostitele syslogu. Abyste předešli neobnovitelné ztrátě dat, musíte minimálně zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly Hybrid Data Security.

Protože uzly Hybrid Data Security ukládají klíče používané k šifrování a dešifrování obsahu, selhání udržování provozního nasazení povede k NENAHRADITELNÉ ZTRÁTĚ daného obsahu.

Klienti aplikace Webex ukládají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se postupem času. I když je dočasným výpadkům nemožné zabránit, jsou napravitelné. Úplná ztráta (bez dostupných záloh) databáze nebo konfiguračního souboru ISO však bude mít za následek neobnovitelná zákaznická data. Od provozovatelů uzlů Hybrid Data Security se očekává, že budou pravidelně zálohovat databázi a konfigurační soubor ISO a budou připraveni obnovit datové centrum Hybrid Data Security v případě katastrofického selhání.

8

Ujistěte se, že konfigurace vašeho firewallu umožňuje připojení uzlů Hybrid Data Security, jak je popsáno v Požadavky na externí připojení.

9

Nainstalujte Docker ( https://www.docker.com) na jakýkoli lokální počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Dockeru použijete ke stažení a spuštění nástroje HDS Setup Tool, který sestaví lokální konfigurační informace pro všechny uzly Hybrid Data Security. Možná budete potřebovat licenci Docker Desktop. Více informací naleznete v Požadavky na Docker Desktop.

Pro instalaci a spuštění nástroje HDS Setup Tool musí mít místní počítač připojení popsané v Požadavky na externí připojení.

10

Pokud integrujete proxy server s Hybrid Data Security, ujistěte se, že splňuje požadavky na proxy server.

Otestujte své nasazení hybridního zabezpečení dat

Otestujte své hybridní nasazení zabezpečení dat

Tento postup použijte k otestování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte si nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k systémovému protokolu, abyste ověřili, zda se klíčové požadavky předávají vašemu nasazení Multi-Tenant Hybrid Data Security.

1

Klíče pro daný prostor nastavuje tvůrce prostoru. Přihlaste se do aplikace Webex jako jeden z uživatelů zákaznické organizace a poté vytvořte prostor.

Pokud deaktivujete nasazení Hybrid Data Security, obsah v prostorech, které uživatelé vytvoří, již nebude přístupný po nahrazení kopií šifrovacích klíčů uložených v mezipaměti klienta.

2

Posílejte zprávy do nového prostoru.

3

Zkontrolujte výstup syslogu a ověřte, zda se požadavky na klíče předávají do vašeho nasazení Hybrid Data Security.

Pokud uživatel nově přidané zákaznické organizace provede jakoukoli akci, ID organizace se zobrazí v protokolech a lze jej použít k ověření, zda organizace využívá Multi-Tenant HDS. Zkontrolujte hodnotu kms.data.orgId v systémových protokolech.

  1. Chcete-li zkontrolovat uživatele, kteří nejprve navazují zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít položku, například tuto (identifikátory zkrácené pro lepší čitelnost):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Chcete-li zkontrolovat uživatele, kteří požadují existující klíč z KMS, filtrujte podle kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít záznam, jako například:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Chcete-li zkontrolovat uživatele, kteří požadují vytvoření nového klíče KMS, filtrujte podle kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít záznam, jako například:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Chcete-li zkontrolovat uživatele, kteří požadují vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít záznam, jako například: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Monitorování stavu hybridní bezpečnosti dat

Indikátor stavu v centru pro partnery ukazuje, zda je s nasazením hybridního zabezpečení dat pro více klientů vše v pořádku. Pro proaktivnější upozornění se zaregistrujte k odběru e-mailových oznámení. Budete upozorněni, když se objeví alarmy ovlivňující službu nebo aktualizace softwaru.
1

V Centru pro partneryvyberte v nabídce na levé straně obrazovky možnost Služby.

2

V sekci Cloudové služby vyhledejte Hybridní zabezpečení dat a klikněte na Upravit nastavení.

Zobrazí se stránka Nastavení hybridního zabezpečení dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Správa nasazení HDS

Správa nasazení HDS

Pomocí zde popsaných úkolů můžete spravovat nasazení hybridního zabezpečení dat.

Nastavení plánu upgradu clusteru

Aktualizace softwaru pro hybridní zabezpečení dat se provádějí automaticky na úrovni clusteru, což zajišťuje, že všechny uzly vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu pro cluster. Jakmile bude k dispozici aktualizace softwaru, máte možnost ručně aktualizovat cluster před plánovaným časem aktualizace. Můžete nastavit konkrétní plán aktualizace nebo použít výchozí plán 3:00 AM Daily Spojené státy: America/Los Angeles. V případě potřeby se také můžete rozhodnout odložit nadcházející aktualizaci.

Nastavení plánu aktualizace:

1

Přihlas se do partnerského centra.

2

V nabídce na levé straně obrazovky vyberte Služby.

3

V sekci Cloudové služby vyhledejte Hybridní zabezpečení dat a klikněte na Nastavit

4

Na stránce Hybrid Data Security Resources (Zdroje hybridního zabezpečení dat) vyberte cluster.

5

Klikněte na záložku Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí datum a čas další dostupné aktualizace. V případě potřeby můžete upgrade odložit na následující den kliknutím na Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkký reset— Staré i nové heslo funguje až 10 dní. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdý reset— Stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje přihlašovací údaje účtu Partner Hub s plnými administrátorskými právy partnera.

    Pokud nemáte licenci Docker Desktop, můžete ke spuštění nástroje HDS Setup pro kroky 1.a až 1.e v níže uvedeném postupu použít Podman Desktop. Podrobnosti viz Spuštění nástroje HDS Setup pomocí Podman Desktop.

    Pokud nástroj HDS Setup ve vašem prostředí běží za proxy serverem, zadejte nastavení proxy serveru (server, port, přihlašovací údaje) pomocí proměnných prostředí Docker při spouštění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    docker pull ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro instalaci nepodporuje připojení k localhostu prostřednictvím http://localhost:8080. Pro připojení k localhostu použijte http://127.0.0.1:8080.

  7. Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka do Centra partnerů a poté klikněte na Přijmout pro pokračování.

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Chcete-li nástroj Instalace ukončit, zadejte CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový virtuální počítač uzlu Hybrid Data Security a zaregistrujte ho pomocí nového konfiguračního souboru ISO. Podrobnější pokyny naleznete v části Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v centru pro partnery.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Tento postup použijte k odebrání uzlu Hybrid Data Security z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k vašim bezpečnostním datům.
1

Pomocí klienta VMware vSphere na vašem počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

2

Odstraňte uzel:

  1. Přihlaste se do Centra partnerů a poté vyberte Služby.

  2. Na kartě Hybridní zabezpečení dat klikněte na Zobrazit vše pro zobrazení stránky Zdroje hybridního zabezpečení dat.

  3. Vyberte svůj cluster pro zobrazení jeho panelu Přehled.

  4. Klikněte na uzel, který chcete odstranit.

  5. Klikněte na Zrušit registraci tohoto uzlu v panelu, který se zobrazí vpravo.

  6. Registraci uzlu můžete také zrušit kliknutím na … na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním panelu klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup k bezpečnostním datům.

Obnova po havárii s využitím záložního datového centra

Nejdůležitější službou, kterou váš cluster hybridní ochrany dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k hybridnímu zabezpečení dat, jsou nové požadavky na vytvoření klíčů směrovány do clusteru. Cluster je také zodpovědný za vrácení klíčů, které vytvořil, všem uživatelům, kteří jsou k jejich načtení oprávněni, například členům konverzačního prostoru.

Protože cluster plní klíčovou funkci poskytování těchto klíčů, je nezbytné, aby cluster zůstal v provozu a aby byly udržovány správné zálohy. Ztráta databáze Hybrid Data Security nebo konfiguračního ISO souboru použitého pro schéma bude mít za následek NENAHRADITELNOU ZTRÁTU zákaznického obsahu. Aby se takové ztrátě zabránilo, jsou povinné následující postupy:

Pokud havárie způsobí, že nasazení HDS v primárním datovém centru nebude k dispozici, postupujte podle tohoto postupu pro ruční přepnutí do záložního datového centra.

Než začnete

Zrušte registraci všech uzlů z Partner Hub, jak je uvedeno v Odebrání uzlu. K provedení níže uvedené procedury převzetí služeb při selhání použijte nejnovější soubor ISO, který byl nakonfigurován pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj HDS Setup a postupujte podle kroků uvedených v části Vytvoření konfiguračního ISO souboru pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO na vašem lokálním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce hybridní ochrany dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na Upravit nastavení >CD/DVD Jednotka 1 a vyberte Soubor ISO úložiště dat.

Ujistěte se, že jsou zaškrtnuty políčka Připojeno a Připojit při zapnutí, aby se aktualizované změny konfigurace mohly projevit po spuštění uzlů.

6

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou spuštěny žádné alarmy.

7

Zaregistrujte uzel v centru pro partnery. Viz Zaregistrujte první uzel v clusteru.

8

Postup opakujte pro každý uzel v záložním datovém centru.

Co dělat dál

Pokud se po přepnutí služeb při selhání primární datové centrum opět aktivuje, zrušte registraci uzlů záložního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Odpojení ISO po konfiguraci HDS

Standardní konfigurace HDS běží s namontovaným ISO prvkem. Někteří zákazníci však raději nenechávají soubory ISO trvale připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS načtou novou konfiguraci.

Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte nový ISO soubor nebo aktualizujete stávající pomocí nástroje Setup Tool, musíte aktualizovaný ISO soubor připojit na všechny uzly HDS. Jakmile všechny vaše uzly převezmou změny konfigurace, můžete ISO soubor znovu odpojit pomocí tohoto postupu.

Než začnete

Aktualizujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Vypněte jeden z uzlů HDS.

2

V zařízení vCenter Server Appliance vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí Soubor ISO úložiště dat.

4

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 20 minut nejsou spuštěny žádné alarmy.

5

Opakujte postupně pro každý uzel HDS.

Řešení problémů s hybridním zabezpečením dat

Zobrazit upozornění a řešit problémy

Nasazení hybridní ochrany dat se považuje za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje časový limit. Pokud se uživatelé nemohou dostat k vašemu clusteru Hybrid Data Security, setkávají se s následujícími příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Zprávy a názvy prostorů se nedaří dešifrovat pro:

    • Do prostoru přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nemohou načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně fungovat, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité řádně monitorovat cluster Hybrid Data Security a neprodleně řešit veškerá upozornění, abyste předešli přerušení služby.

Upozornění

Pokud se vyskytne problém s nastavením hybridního zabezpečení dat, Partner Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Upozornění pokrývají mnoho běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze nebo problémy s lokální sítí.

Chyba připojení k lokální databázi.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje servisního účtu.

Selhání přístupu ke cloudové službě.

Zkontrolujte, zda uzly mají přístup k serverům Webex, jak je uvedeno v Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace do cloudových služeb byla zrušena. Probíhá obnovení registrace.

Registrace cloudové služby byla zrušena.

Registrace do cloudových služeb ukončena. Služba se vypíná.

Služba ještě nebyla aktivována.

Aktivujte HDS v centru pro partnery.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že certifikát vašeho serveru odpovídá nakonfigurované doméně aktivace služby.

Nejpravděpodobnější příčinou je, že CN certifikátu bylo nedávno změněno a nyní se liší od CN, které bylo použito při počátečním nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení platnosti přihlašovacích údajů k servisnímu účtu.

Nepodařilo se otevřít soubor lokálního úložiště klíčů.

Zkontrolujte integritu a přesnost hesla v souboru lokálního úložiště klíčů.

Certifikát lokálního serveru je neplatný.

Zkontrolujte datum platnosti certifikátu serveru a ověřte, zda byl vydán důvěryhodnou certifikační autoritou.

Nelze odeslat metriky.

Zkontrolujte přístup k externím cloudovým službám v místní síti.

/media/configdrive/hds Adresář neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení po restartu a zda se připojí úspěšně.

Nastavení organizace klienta není pro přidané organizace dokončeno.

Dokončete nastavení vytvořením klíčů CMK pro nově přidané organizace klientů pomocí nástroje HDS Setup Tool.

Nastavení organizace klienta pro odebrané organizace není dokončeno.

Dokončete nastavení zrušením klíčů CMK organizací klientů, které byly odebrány pomocí nástroje HDS Setup Tool.

Řešení problémů s hybridním zabezpečením dat

Při řešení problémů s hybridním zabezpečením dat používejte následující obecné pokyny.
1

Zkontrolujte Centrum partnerů, zda v něm nejsou uvedena upozornění, a opravte všechny nalezené položky. Pro ilustraci se podívejte na obrázek níže.

2

Zkontrolujte výstup serveru syslog, zda neobsahuje aktivitu z nasazení hybridního zabezpečení dat. Pro usnadnění řešení problémů filtrujte slova jako „Varování“ a „Chyba“.

3

Kontaktujte podporu Cisco.

Další poznámky

Známé problémy s hybridním zabezpečením dat

  • Pokud vypnete cluster Hybrid Data Security (jeho odstraněním v Partner Hubu nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo přístup k databázi úložiště klíčů, uživatelé aplikace Webex z organizací zákazníků již nebudou moci používat prostory v seznamu osob, které byly vytvořeny pomocí klíčů z vaší služby správy klíčů (KMS). V současné době nemáme žádné řešení ani opravu tohoto problému a důrazně vás žádáme, abyste nevypínali služby HDS, jakmile zpracovávají aktivní uživatelské účty.

  • Klient, který má existující připojení ECDH k KMS, udržuje toto připojení po určitou dobu (pravděpodobně jednu hodinu).

Spusťte nástroj HDS Setup pomocí nástroje Podman Desktop

Podman je bezplatný a open-source nástroj pro správu kontejnerů, který umožňuje spouštět, spravovat a vytvářet kontejnery. Podman Desktop si můžete stáhnout z https://podman-desktop.io/downloads.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup k němu si stáhněte a spusťte Podman na daném počítači. Proces nastavení vyžaduje pověření účtu Control Hub s plnými právy správce pro vaši organizaci.

    Pokud nástroj HDS Setup ve vašem prostředí běží za proxy serverem, zadejte nastavení proxy serveru (server, port, přihlašovací údaje) pomocí proměnných prostředí Docker při spouštění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Vygenerovaný konfigurační soubor ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Nejnovější kopii tohoto souboru potřebujete vždy, když provádíte změny konfigurace, například tyto:

    • Přihlašovací údaje k databázi

    • Aktualizace certifikátů

    • Změny v autorizačních zásadách

  • Pokud plánujete šifrovat databázová připojení, nastavte si protokol TLS v nasazení PostgreSQL nebo SQL Serveru.

Proces instalace hybridního zabezpečení dat vytvoří soubor ISO. Poté použijete ISO soubor ke konfiguraci hostitele Hybrid Data Security.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

podman rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

podman login docker.io -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

podman pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžném prostředí s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

Co dělat dál

Postupujte podle zbývajících kroků v části Vytvoření konfiguračního souboru ISO pro hostitele HDS nebo Změna konfigurace uzlu pro vytvoření nebo změnu konfigurace souboru ISO.

Přesunutí stávajícího nasazení HDS pro jednoho klienta partnerské organizace v Control Hub do nastavení HDS pro více klientů v Partner Hub.

Převod z existujícího nasazení HDS s jedním klientem partnerské organizace spravovaného v Control Hub na nasazení HDS s více klienty spravované v Partner Hub zahrnuje především deaktivaci služby HDS v Control Hub, zrušení registrace uzlů a odstranění clusteru. Poté se můžete přihlásit do Partner Hub, zaregistrovat uzly, aktivovat Multi-Tenant HDS a přidat zákazníky do clusteru.

Termín „single-tenant“ jednoduše označuje existující nasazení HDS v Control Hubu.

Deaktivace HDS, zrušení registrace uzlů a odstranění clusteru v Control Hubu

1

Přihlaste se do Control Hubu. V levém panelu klikněte na Hybridní. Na kartě Hybridní zabezpečení dat klikněte na Upravit nastavení.

2

Na stránce nastavení přejděte dolů do sekce Deaktivovat a klikněte na Deaktivovat.

3

Po deaktivaci klikněte na záložku Zdroje.

4

Stránka Zdroje obsahuje seznam clusterů ve vašem nasazení HDS. Kliknutím na cluster se otevře stránka se všemi uzly v tomto clusteru.

5

Klikněte na ... vpravo a klikněte na Zrušit registraci uzlu. Opakujte postup pro všechny uzly v clusteru.

6

Pokud vaše nasazení obsahuje více clusterů, opakujte kroky 4 a 5, dokud nebudou všechny uzly odregistrovány.

7

Klikněte na Nastavení clusteru > Odebrat.

8

Kliknutím na Potvrdit odstranění zrušíte registraci clusteru.

9

Opakujte postup pro všechny clustery v nasazení HDS.

Po deaktivaci HDS, zrušení registrace uzlů a odebrání clusterů se na kartě Hybrid Data Service v Control Hubu dole zobrazí Nastavení nebylo dokončeno.

Aktivujte Multi-Tenant HDS pro partnerskou organizaci v Partner Hub a přidejte zákazníky.

Než začnete

Všechny předpoklady uvedené v Požadavky na zabezpečení hybridních dat pro více klientů. Kromě toho se ujistěte, že se během přechodu na Multi-Tenant HDS používá stejná databáze a certifikáty.

1

Přihlaste se do Centra pro partnery. V levém panelu klikněte na Služby.

Pro konfiguraci uzlů použijte stejný ISO soubor z předchozího nasazení HDS. Tím se zajistí, že zprávy a obsah generovaný uživateli v předchozím existujícím nasazení HDS budou i nadále přístupné v novém nastavení pro více klientů.

2

V sekci Cloudové služby vyhledejte kartu Hybridní zabezpečení dat a klikněte na Nastavit.

3

Na stránce, která se otevře, klikněte na Přidat zdroj.

4

Do prvního pole karty Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit uzel Hybrid Data Security.

Doporučujeme pojmenovat cluster na základě geografické polohy uzlů clusteru. Příklady: „San Francisco“, „New York“ nebo „Dallas“

5

Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat v dolní části obrazovky.

Tato IP adresa nebo plně kvalifikovaný název domény by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Nastavení virtuálního počítače Hybrid Data Security.

Zobrazí se zpráva s oznámením, že můžete zaregistrovat svůj uzel do Webexu.
6

Klikněte na Přejít na uzel.

Po chvíli budete přesměrováni na testy připojení uzlů pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k uzlu hybridního zabezpečení dat. Tam potvrdíte, že chcete své organizaci Webex udělit oprávnění k přístupu k vašemu uzlu.

7

Zaškrtněte políčko Povolit přístup k uzlu hybridního zabezpečení dat a poté klikněte na Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ označuje, že váš uzel je nyní zaregistrován v cloudu Webex. Na stránce Hybridní zabezpečení dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel si automaticky stáhne nejnovější software z cloudu.
8

Přejděte na kartu Nastavení a klikněte na Aktivovat na kartě Stav HDS.

V dolní části obrazovky se zobrazí zprávaAktivovaný HDS.
9

V sekci Zdrojeklikněte na nově vytvořený cluster.

10

Na stránce, která se otevře, klikněte na kartu Přiřazení zákazníci.

11

Klikněte na Přidat zákazníky.

12

Z rozbalovací nabídky vyberte zákazníka, kterého chcete přidat.

13

Klikněte na Přidat, zákazník bude přidán do clusteru.

14

Opakujte kroky 11 až 13 pro přidání více zákazníků do clusteru.

15

Po přidání zákazníků klikněte na Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj HDS Setup, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje HDS Setup, abyste dokončili proces nastavení.

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden z nástrojů, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji HDS Setup Tool. Existují i jiné způsoby, jak toho dosáhnout, a my jeden nepodporujeme ani nepropagujeme na úkor druhého.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor splňující požadavky na certifikát X.509 v Požadavky na certifikát X.509. Než budete pokračovat, pochopte tyto požadavky.

  • Nainstalujte OpenSSL v podporovaném prostředí. Software a dokumentaci naleznete v https://www.openssl.org.

  • Vytvořte si soukromý klíč.

  • Spusťte tento postup, jakmile obdržíte certifikát serveru od certifikační autority (CA).

1

Jakmile od certifikační autority obdržíte certifikát serveru, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřte podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor s balíčkem certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, všechny zprostředkující certifikáty CA a kořenové certifikáty CA v následujícím formátu:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Vytvořte soubor .p12 s popisným názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti certifikátu serveru.

  1. openssl pkcs12 -in hdsnode.p12

  2. Zadejte heslo na výzvu pro zašifrování soukromého klíče, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky friendlyName: kms-private-key.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Co dělat dál

Zpět na Dokončete předpoklady pro hybridní zabezpečení dat. Soubor hdsnode.p12 a heslo, které jste pro něj nastavili, použijete v části Vytvoření konfiguračního ISO souboru pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu po vypršení platnosti původního certifikátu.

Provoz mezi uzly HDS a cloudem

Odchozí provoz sběru metrik

Uzly Hybrid Data Security odesílají do cloudu Webex určité metriky. Patří sem systémové metriky pro maximální kapacitu haldy, využití haldy, zatížení CPU a počet vláken; metriky synchronních a asynchronních vláken; metriky upozornění týkající se prahové hodnoty šifrovaných připojení, latence nebo délky fronty požadavků; metriky úložiště dat a metriky šifrovaných připojení. Uzly odesílají šifrovaný klíčový materiál přes kanál mimo pásmo (oddělený od požadavku).

Příchozí provoz

Uzly Hybrid Data Security přijímají z cloudu Webex následující typy příchozího provozu:

  • Žádosti o šifrování od klientů, které jsou směrovány šifrovací službou

  • Aktualizace softwaru uzlu

Konfigurace proxy serverů Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery Squid, které kontrolují provoz HTTPS, mohou narušovat navazování připojení websocket (wss:), které vyžaduje hybridní zabezpečení dat. Tyto sekce poskytují pokyny, jak nakonfigurovat různé verze Squidu tak, aby ignorovaly wss: provoz a zajistily tak správné fungování služeb.

Chobotnice 4 a 5

Přidejte direktivu on_unsupported_protocol do squid.conf:

on_unsupported_protocol tunnel all

Chobotnice 3.5.27

Úspěšně jsme otestovali hybridní zabezpečení dat s následujícími pravidly přidánými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Byl tento článek užitečný?
Byl tento článek užitečný?
CenyAplikace WebexSchůzkyCallingZasílání zprávSdílení obrazovky
Webex SuiteCallingSchůzkyZasílání zprávSlidoWebinářeEventsKontaktní centrumCPaaSZabezpečeníControl Hub
Náhlavní soupravyKameryŘada stolůŘada RoomŘada BoardŘada PhonePříslušenství
VzděláváníZdravotní péčeVládaFinanceSport a zábavaFrontlineNeziskové aktivityStart-upyHybridní práce
Stažené souboryPřipojit se k testovací schůzceOnline lekceIntegraceUsnadnění přístupuInkluzivitaWebináře naživo a na vyžádáníKomunita WebexVývojáři WebexNovinky a inovace
CiscoKontaktovat podporuKontaktovat obchodní odděleníWebex BlogMyšlenkový leadership WebexObchod Webex MerchKariéra
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Smluvní podmínkyProhlášení o ochraně osobních údajůSoubory cookieOchranné známky
©2025 Společnost Cisco a/nebo její pobočky. Všechna práva vyhrazena.
Smluvní podmínkyProhlášení o ochraně osobních údajůSoubory cookieOchranné známky