V tomto článku
dropdown icon
Nové a změněné informace
    Nové a změněné informace
dropdown icon
Začínáme s hybridním zabezpečením dat pro více klientů
    dropdown icon
    Přehled hybridního zabezpečení dat pro více klientů
      Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu
      Omezení hybridního zabezpečení dat pro více klientů
      Role v hybridním zabezpečení dat pro více klientů
    dropdown icon
    Architektura bezpečnostní sféry
      Oddělené sféry (bez hybridního zabezpečení dat)
    Spolupráce s jinými organizacemi
    Očekávání pro nasazení hybridního zabezpečení dat
    Proces nastavení na vysoké úrovni
    dropdown icon
    Model nasazení hybridního zabezpečení dat
      Model nasazení hybridního zabezpečení dat
    dropdown icon
    Pohotovostní datové centrum pro obnovení po havárii
      Ruční nouzový provoz do pohotovostního centra
    Podpora proxy serveru
dropdown icon
Připravte si své prostředí
    dropdown icon
    Požadavky na hybridní zabezpečení dat pro více klientů
      Licenční požadavky na Cisco Webex
      Požadavky aplikace Docker na plochu
      Požadavky na certifikát X.509
      Požadavky virtuálního hostitele
      Požadavky na database server
      Požadavky na externí připojení
      Požadavky na proxy server
    Splňte předpoklady pro hybridní zabezpečení dat
dropdown icon
Nastavit hybridní datový bezpečnostní cluster
    Tok úloh nasazení hybridního zabezpečení dat
    Provedení počátečního nastavení a stažení instalačních souborů
    Vytvoření ISO konfigurace pro hostitele HDS
    Instalace OVA hostitele HDS
    Nastavit hybridní zabezpečení dat VM
    Nahrání a montáž ISO konfigurace HDS
    Konfigurace uzlu HDS pro integraci proxy serveru
    Zaregistrujte první uzel v clusteru
    Vytvořit a zaregistrovat více uzlů
dropdown icon
Správa organizací klientů v hybridním zabezpečení dat pro více klientů
    Aktivace HDS pro více klientů v prostředí Partner Hub
    Přidat organizace klienta v partnerském centru
    Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS
    Odebrat organizace klientů
    Zrušit CMK klientů odebraných z HDS.
dropdown icon
Otestovat nasazení hybridního zabezpečení dat
    Testování nasazení hybridního zabezpečení dat
    Monitorovat stav zabezpečení hybridních dat
dropdown icon
Spravujte nasazení HDS
    Spravovat nasazení HDS
    Nastavit plán upgradu clusteru
    Změna konfigurace uzlu
    Vypnout blokovaný režim externího rozlišení DNS
    Odebrat uzel
    Obnovení po havárii pomocí datového centra v pohotovostním režimu
    (Volitelné) Po konfiguraci HDS odpojení ISO
dropdown icon
Řešení potíží se zabezpečením hybridních dat
    Zobrazit upozornění a řešení potíží
    dropdown icon
    Upozornění
      Běžné problémy a kroky k jejich řešení
    Řešení potíží se zabezpečením hybridních dat
dropdown icon
Další poznámky
    Známé problémy hybridního zabezpečení dat
    Spouštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop
    Použití OpenSSL k vygenerování souboru PKCS12
    Provoz mezi uzly HDS a cloudem
    dropdown icon
    Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat
      Websocket se nemůže připojit přes Squid Proxy
dropdown icon
Deaktivace hybridního zabezpečení dat pro více klientů
    Postup deaktivace HDS pro více klientů
14. března 2025 | 7 zobrazení | 0 osob/y, podle nichž byl obsah užitečný

Průvodce nasazením pro hybridní zabezpečení dat (HDS) pro více klientů (beta)

list-menuV tomto článku
list-menuZpětná vazba?

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

13. prosince 2024

První verze.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • VMware ESXi 6.5 (nebo novější) byl nainstalován a spuštěn.

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 6.5. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 6.5. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centrua klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován server SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Byla přidána omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Použijte přátelský název kms-private-key ke značce certifikátu, soukromého klíče a všech certifikátů intermediate, které chcete nahrát.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy úplných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a jakékoli průběžné certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu uživatelské jméno@DOMÉNA v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve tvaru : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxVelikost: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: Společnost Cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na Disk CD/DVD 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO s konfigurací nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stabilní

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

ciscocitg/hds-setup pro stažení doku:stabilní

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda uživatel nejprve naváže zabezpečený kanál do KMS, filtrujte podle kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFORMACE KMS [pool-14-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z nástroje KMS, filtrujte hodnoty kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFORMACE KMS [pool-14-thread-31] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte parametry kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFORMACE KMS [pool-14-thread-33] - [KMS:REQUEST] přijato, zařízeníId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO) při vytvoření prostoru nebo jiného chráněného zdroje, filtrujte podle parametrů kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFORMACE KMS [pool-15-thread-1] - [KMS:REQUEST] přijato, ID zařízení: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTP_PROXY=http://uživatelské jméno:heslo@server_IP:PORT

    HTTPS proxy s autentizací

    GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://UŽIVATELSKÉ JMÉNO:HESLO@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stabilní

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    ciscocitg/hds-setup pro stažení doku:stabilní

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup:stabilní

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      spuštění doku -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBÁLNÍ_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěný, zobrazí se "Expresní server naslouchající na portu 8080".

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Nástroj pro nastavení vypnete zadáním příkazu CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na DISK CD/DVD 1, vyberte možnost připojení ze souboru ISO a přejděte na místo, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----ZAČÍT CERTIFIKÁT----- ### Certifikát serveru. ### -----UKONČIT CERTIFIKÁT---------- ZAČÍT CERTIFIKÁT---- ### Certifikát střední certifikační autority. ### -----UKONČIT CERTIFIKÁT------------  ### Certifikát kořenové certifikační autority. ### ----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -název kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -v hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-soukromý-klíč.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12 Zadejte heslo pro import: Atributy tašky OK ověřené systémem MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Klíčové atributy:  Zadejte frázi PEM: Ověřování – zadejte frázi PEM: -----ZAČÍT ŠIFROVANÝ SOUKROMÝ KLÍČ----  -----END ŠIFROVANÝ SOUKROMÝ KLÍČ----- Atributy Tašky friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE---- Bag Attributes friendlyNázev: CN=Pojďme šifrovat autoritu X3,O=Pojďme šifrovat,C=US subject=/C=US/O=Pojďme šifrovat/CN=Pojďme šifrovat autoritu X3 issuer=/O=Digitální podpis Trust Co./CN=KOŘENOVÁ CERTIFIKAČNÍ AUTORITA DST X3 -----BEGIN CERTIFICATE----  ----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Použijete soubor hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Nové a změněné informace

Nové a změněné informace

Tato tabulka obsahuje nové funkce nebo funkce, změny stávajícího obsahu a všechny závažné chyby, které byly opraveny v Průvodci nasazením pro zabezpečení hybridních dat pro více klientů.

Datum

Provedené změny

4. března 2025

30. ledna 2025

Do seznamu podporovaných serverů SQL v části Požadavky na databázový server byl přidán server SQL verze 2022.

15. ledna 2025

Přidána možnost Omezení hybridního zabezpečení dat pro více klientů.

08. ledna 2025

Přidána poznámka v části Provést počáteční nastavení a stáhnout instalační soubory , která uvádí, že kliknutí na tlačítko Nastavit na kartě HDS v prostředí Partner Hub je důležitým krokem procesu instalace.

07. ledna 2025

Chcete-li zobrazit nový požadavek verze ESXi 7.0, aktualizované položky Požadavky virtuálního hostitele, Tok úloh nasazení zabezpečení hybridních dat a Instalace hostitele OVA .

13. prosince 2024

Poprvé zveřejněno.

Deaktivace hybridního zabezpečení dat pro více klientů

Postup deaktivace HDS pro více klientů

Postupujte takto a zcela deaktivujte HDS pro více klientů.

Než začnete

Tuto úlohu smí provádět pouze správce partnera s úplnými právy.
1

Odeberte všechny zákazníky ze všech clusterů, jak je uvedeno v části Odebrání organizací klientů.

2

Zrušit CMK všech zákazníků, jak je uvedeno v části Zrušit CMK klientů odebraných z HDS..

3

Odstraňte všechny uzly ze všech clusterů, jak je uvedeno v části Odebrání uzlu.

4

Odstraňte všechny clustery z partnerského centra pomocí jedné z následujících dvou metod.

  • Klikněte na cluster, který chcete odstranit, a vyberte Odstranit tento cluster v pravém horním rohu stránky přehledu.
  • Na stránce Zdroje klikněte na "@" na pravé straně clusteru a vyberte možnost Odebrat cluster.
5

Klikněte na kartě Nastavení na stránce přehledu zabezpečení hybridních dat a na kartě Stav HDS klikněte na možnost Deaktivovat HDS .

Začínáme s hybridním zabezpečením dat pro více klientů

Přehled hybridního zabezpečení dat pro více klientů

Zabezpečení dat bylo při navrhování Aplikace Webex od začátku prioritou. Základem tohoto zabezpečení je šifrování obsahu typu end-to-end, které umožňuje interakci klientů aplikace Webex se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování typu end-to-end pomocí dynamických klíčů uložených v cloudové službě KMS v rámci řešení zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Zabezpečení hybridních dat pro více klientů umožňuje organizacím využívat řešení HDS prostřednictvím důvěryhodného místního partnera, který může působit jako poskytovatel služeb a spravovat místní šifrování a další bezpečnostní služby. Toto nastavení umožňuje partnerské organizaci mít úplnou kontrolu nad nasazením a správou šifrovacích klíčů a zajišťuje bezpečnost uživatelských dat organizací zákazníků před externím přístupem. Partnerské organizace nastavují instance HDS a podle potřeby vytvoří clustery HDS. Každá instance může podporovat více organizací zákazníka na rozdíl od pravidelného nasazení HDS, které je omezeno na jednu organizaci.

Přestože partnerské organizace mají nad nasazením a správou kontrolu, nemají přístup k datům a obsahu generovanému zákazníky. Tento přístup je omezen na zákaznické organizace a jejich uživatele.

To také umožňuje menším organizacím využívat HDS, protože služby správy klíčů a bezpečnostní infrastruktury, jako jsou datová centra, jsou ve vlastnictví důvěryhodného místního partnera.

Jak hybridní zabezpečení dat pro více klientů zajišťuje suverenitu dat a jejich kontrolu

  • Obsah vytvářený uživateli je chráněn před externím přístupem, například poskytovateli cloudových služeb.
  • Místní důvěryhodní partneři spravují šifrovací klíče zákazníků, s nimiž již mají vztah.
  • Možnost místní technické podpory, pokud ji poskytuje partner.
  • Podporuje obsah schůzek, zpráv a volání.

Cílem tohoto dokumentu je pomoci partnerským organizacím při nastavování a správě zákazníků v rámci hybridního systému zabezpečení dat pro více klientů.

Omezení hybridního zabezpečení dat pro více klientů

  • Partnerské organizace nesmí mít v centru Control Hub aktivní žádné stávající nasazení HDS.
  • Organizace klientů nebo zákazníků, které si přejí správu partnerem, nesmí mít v centru Control Hub žádné stávající nasazení HDS.
  • Jakmile partner zavede řešení HDS s více klienty, všichni uživatelé organizací zákazníků i uživatelé organizace partnera začnou pro své šifrovací služby využívat řešení HDS s více klienty.

    Partnerská organizace a organizace zákazníků, které spravují, budou ve stejném nasazení řešení HDS s více klienty.

    Po nasazení HDS s více klienty již nebude partnerská organizace používat cloudový systém KMS.

  • Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudového KMS po nasazení HDS.
  • V současné době může každé nasazení HDS s více klienty mít pouze jeden cluster s více uzly pod ním.
  • Role správce mají určitá omezení. Podrobnosti naleznete v části níže.

Role v hybridním zabezpečení dat pro více klientů

  • Správce partnera s úplnými právy – může spravovat nastavení pro všechny zákazníky, které partner spravuje. Může také přiřazovat role správce stávajícím uživatelům v organizaci a přiřazovat konkrétní zákazníky pro správu ze strany správců partnerů.
  • Správce partnera – může spravovat nastavení pro zákazníky, které správce zřídil nebo kteří byli uživateli přiřazeni.
  • Správce s úplnými právy – správce organizace partnera, který je oprávněn provádět úlohy, jako je úprava nastavení organizace, správa licencí a přiřazování rolí.
  • Koncové nastavení a správa HDS s více klienty pro všechny organizace zákazníka – jsou vyžadována práva správce partnera s úplnými právy.
  • Správa přiřazených organizací klientů – jsou vyžadována oprávnění správce partnera a plnohodnotné správce.

Architektura bezpečnostní sféry

Cloudová architektura Webex odděluje různé typy služeb na samostatné domény nebo důvěryhodné domény, jak je znázorněno níže.

Oddělené sféry (bez hybridního zabezpečení dat)

Abychom lépe porozuměli hybridnímu zabezpečení dat, podívejme se nejprve na tento případ čistého cloudu, ve kterém společnost Cisco poskytuje všechny funkce ve svých cloudových doménách. Služba identity, jediné místo, kde mohou uživatelé přímo korelovat se svými osobními údaji, jako je e-mailová adresa, je logicky a fyzicky oddělena od sféry zabezpečení v datovém centru B. Obě jsou zase odděleny od sféry, ve které je šifrovaný obsah nakonec uložen, v datovém centru C.

V tomto diagramu je klient aplikace Webex spuštěná na notebooku uživatele a byl ověřen pomocí služby identity. Když uživatel vytvoří zprávu k odeslání do prostoru, postupujte takto:

  1. Klient naváže zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč k šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.

  2. Zpráva je zašifrována předtím, než opustí klienta. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při vyhledávání obsahu v budoucnu.

  3. Zašifrovaná zpráva se odešle službě pro dodržování předpisů za účelem kontrol dodržování předpisů.

  4. Zašifrovaná zpráva je uložena v úložišti.

Když nasazujete hybridní zabezpečení dat, přesunete funkce sféry zabezpečení (KMS, indexování a dodržování předpisů) do místního datového centra. Ostatní cloudové služby, které tvoří službu Webex (včetně úložiště identity a obsahu), zůstávají v doménách Cisco.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který je vlastněn vaší organizací (protože byl vytvořen jedním z vašich uživatelů), systém KMS odešle klíč klientovi prostřednictvím zabezpečeného kanálu ECDH. Pokud však klíč prostoru vlastní jiná organizace, vaše služba KMS nasměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získala klíč z příslušného služby KMS, a poté klíč vrátí uživateli v původním kanálu.

Služba KMS spuštěná v organizaci A ověřuje připojení k KMS v jiných organizacích pomocí certifikátů x.509 PKI. Podrobnosti o generování certifikátu x.509 pro použití s nasazením hybridního zabezpečení dat pro více klientů najdete v části Příprava prostředí .

Očekávání pro nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje významný závazek a povědomí o rizicích, která přináší vlastnictví šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte zadat:

Úplná ztráta ISO konfigurace, kterou vytvoříte pro zabezpečení hybridních dat, nebo databáze, kterou poskytnete, povede ke ztrátě klíčů. Ztráta klíče zabraňuje uživatelům v dešifrování obsahu prostoru a dalších zašifrovaných dat v Aplikaci Webex. Pokud k tomu dojde, můžete vytvořit nové nasazení, bude však viditelný pouze nový obsah. Abyste předešli ztrátě přístupu k datům, musíte:

  • Spravujte zálohování a obnovení databáze a konfigurace ISO.

  • Připravte se na rychlé zotavení v případě havárie, například selhání databázového disku nebo havárie datového centra.

Neexistuje žádný mechanismus pro přesunutí klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat pro více klientů:

  • Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru zabezpečení hybridních dat, výstavbu clusteru HDS, přidání organizací klientů do clusteru a správu jejich hlavních klíčů zákazníka (CMK). Tímto způsobem budou moci všichni uživatelé vašich zákaznických organizací používat pro funkce zabezpečení hybridních dat svůj klastr zabezpečení.

    Fáze nastavení, aktivace a správy jsou podrobně popsány v dalších třech kapitolách.

  • Zachovejte nasazení hybridního zabezpečení dat– Cloud Webex automaticky poskytuje průběžné upgrady. Toto nasazení může poskytovat podporu úrovně jedna a podle potřeby zapojit podporu společnosti Cisco. V prostředí Partner Hub můžete používat oznámení na obrazovce a nastavit výstrahy založené na e-mailu.

  • Seznamte se s běžnými výstrahami, kroky řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha Známé problémy pomoci určit a opravit tyto potíže.

Model nasazení hybridního zabezpečení dat

V rámci podnikového datového centra nasazujete hybridní zabezpečení dat jako jediný cluster uzlů na různých virtuálních hostitelích. Uzly komunikují s cloudem Webex prostřednictvím zabezpečených webových socketů a zabezpečeného protokolu HTTP.

Během procesu instalace vám poskytujeme soubor OVA pro nastavení virtuálního zařízení na virtuálních počítačích, které poskytujete. Pomocí nástroje pro nastavení HDS můžete vytvořit vlastní soubor ISO konfigurace clusteru, který chcete upevnit na každý uzel. Hybridní datový bezpečnostní cluster používá poskytnutý server Syslogd a databázi PostgreSQL nebo Microsoft SQL Server. (Podrobnosti o připojení k databázi nakonfigurujete v nástroji pro nastavení HDS.)

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme nejméně tři na jeden cluster. Přítomnost více uzlů zajišťuje, že služba není během upgradu softwaru nebo jiné údržby uzlu přerušena. (Cloud Webex upgraduje pouze jeden uzel současně.)

Všechny uzly v clusteru přistupují ke stejnému datovému úložišti klíče a zaznamenávají aktivitu na stejný server syslog. Samotné uzly jsou bez státní příslušnosti a zpracovávají klíčové požadavky round-robin, jak je řízen cloudem.

Uzly se aktivují po registraci v prostředí Partner Hub. Chcete-li některý uzel vyřadit z provozu, můžete jeho registraci zrušit a v případě potřeby jej znovu registrovat.

Pohotovostní datové centrum pro obnovení po havárii

Během nasazení nastavíte zabezpečené záložní datové centrum. V případě havárie datového centra můžete ručně přepnout do pohotovostního datového centra.

Před nouzovým přechodem má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, virtuálními počítači, které jsou registrovány v organizaci, a záložní databázi. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má neregistrované virtuální počítače a kopii souboru ISO a databáze je v pohotovostním režimu.
Ruční nouzový provoz do pohotovostního centra

Databáze aktivních a pohotovostních datových center jsou vzájemně synchronizovány, což minimalizuje čas potřebný k převzetí služeb při selhání.

Aktivní hybridní datové bezpečnostní uzly musí být vždy ve stejném datovém centru jako aktivní databázový server.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si své prostředí

Požadavky na hybridní zabezpečení dat pro více klientů

Licenční požadavky na Cisco Webex

Nasazení hybridního zabezpečení dat pro více klientů:

  • Partnerské organizace: Kontaktujte svého partnera společnosti Cisco nebo správce účtu a ujistěte se, že je povolena funkce pro více klientů.

  • Organizace klientů: Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky aplikace Docker na plochu

Před instalací uzlů HDS je nutné spustit instalační program aplikace Docker Desktop. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Zákazníci bez licence Docker Desktop mohou používat nástroj pro správu kontejnerů s otevřeným zdrojovým kódem, jako je Podman Desktop, ke spouštění, správě a vytváření kontejnerů. Podrobnosti najdete v části Spuštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop .

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat

Požadavek

Podrobnosti

  • Podepsáno důvěryhodnou certifikační autoritou

Ve výchozím nastavení důvěřujeme certifikačním autoritám v seznamu aplikace Mozilla (s výjimkou WoSign a StartCom) v https://wiki.mozilla.org/CA:IncludedCAs.

  • Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat.

  • Není certifikát se zástupným znakem

CN nemusí být dosažitelná ani živého hostitele. Doporučujeme použít název, který odráží vaši organizaci, například hds.company.com.

CN nesmí obsahovat znak * (zástupný znak).

Položka CN se používá k ověření hybridních datových bezpečnostních uzlů u klientů aplikace Webex. Všechny hybridní datové bezpečnostní uzly v clusteru používají stejný certifikát. Váš systém KMS se identifikuje pomocí domény CN, nikoli pomocí domény, která je definována v polích SAN x.509v3.

Jakmile jste s tímto certifikátem zaregistrovali uzel, změnu názvu domény CN nepodporujeme.

  • Podpis bez SHA1

Software KMS nepodporuje podpisy SHA1 pro ověřování připojení k KMS jiných organizací.

  • Naformátováno jako soubor PKCS #12 chráněný heslem

  • Jednoduchý název kms-private-key použijte ke značkování certifikátu, soukromého klíče a všech certifikátů mezi nimi k nahrání.

Ke změně formátu certifikátu můžete použít převodník, například OpenSSL.

Při spuštění nástroje pro nastavení HDS musíte zadat heslo.

Software KMS neuplatňuje použití klíče ani rozšířená omezení použití klíče. Některé certifikační autority vyžadují, aby byla na každý certifikát aplikována rozšířená omezení použití klíče, například ověření serveru. Je v pořádku použít ověření serveru nebo jiná nastavení.

Požadavky virtuálního hostitele

Virtuální hostitelé, které nastavíte ve svém clusteru jako hybridní datové bezpečnostní uzly, mají následující požadavky:

  • Nejméně dva samostatní hostitelé (doporučeno 3) společně umístěni ve stejném zabezpečeném datovém centru

  • Nainstalovaný a spuštěný nástroj VMware ESXi 7.0 (nebo novější).

    Pokud máte starší verzi ESXi, musíte provést upgrade.

  • Minimálně 4 vCPU, 8 GB hlavní paměti, 30 GB místního pevného disku na server

Požadavky na database server

Vytvořte novou databázi pro úložiště klíčů. Nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.

Databázový server má dvě možnosti. Pro každou z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

PostgreSQL

Server Microsoft SQL

  • Nainstalovaný a spuštěný PostgreSQL 14, 15 nebo 16.

  • Byl nainstalován SQL Server 2016, 2017, 2019 nebo 2022 (Enterprise nebo Standard).

    Server SQL Server 2016 vyžaduje sadu Service Pack 2 a kumulativní aktualizaci 2 nebo novější.

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Minimálně 8 vCPU, 16 GB hlavní paměti, dostatek místa na pevném disku a sledování, aby nebylo překročeno (doporučujeme 2 TB, pokud chcete databázi provozovat po dlouhou dobu, aniž by bylo nutné zvětšovat úložiště)

Software HDS aktuálně nainstaluje následující verze ovladačů pro komunikaci s databázovým serverem:

PostgreSQL

Server Microsoft SQL

Ovladač Postgres JDBC 42.2.5

Ovladač SQL Server JDBC 4.6

Tato verze ovladače podporuje vždy zapnutý SQL Server (skupiny dostupnosti Always On Failover Cluster a Always On).

Další požadavky na ověřování systému Windows na serveru Microsoft SQL

Pokud chcete, aby uzly HDS používaly ověřování systému Windows k získání přístupu do databáze úložiště klíčů na serveru Microsoft SQL Server, musíte ve svém prostředí provést následující konfiguraci:

  • Uzly HDS, infrastruktura služby Active Directory a server MS SQL Server musí být synchronizovány s NTP.

  • Účet Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.

  • Servery DNS, které poskytujete uzlům HDS, musí být schopny zpracovávat vaše distribuční centrum klíče (KDC).

  • Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL Server jako název Service Principal (SPN) ve službě Active Directory. Viz Registrace názvu hlavního správce služby pro Kerberos Connections.

    Nástroj pro nastavení HDS, spouštěč HDS a místní systém KMS potřebují pro přístup k databázi klíče používat ověřování systému Windows. Při žádosti o přístup k ověření Kerberos používají údaje z vaší ISO konfigurace k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace

Protokol

Port

Směr z aplikace

Cíl

Uzly hybridního zabezpečení dat

TCP

443

Odchozí protokoly HTTPS a WSS

  • Servery Webex:

    • *.wbx2.com

    • *.ciscospark.com

  • Všichni hostitelé Common Identity

  • Další adresy URL, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další adresy URL pro hybridní služby Webex v části Síťové požadavky pro služby Webex

Nástroj pro nastavení HDS

TCP

443

Odchozí protokol HTTPS

  • *.wbx2.com

  • Všichni hostitelé Common Identity

  • hub.docker.com

Hybridní datové bezpečnostní uzly fungují s překladem síťového přístupu (NAT) nebo za bránou firewall, pokud NAT nebo brána firewall umožňují požadovaná odchozí připojení k cílům domény v předchozí tabulce. V případě připojení příchozích do hybridních datových bezpečnostních uzlů by z internetu neměly být viditelné žádné porty. Klienti potřebují v rámci datového centra přístup k hybridním datovým bezpečnostním uzlům na portech TCP 443 a 22 pro administrativní účely.

Adresy URL pro hostitele Common Identity (CI) se liší podle regionu. Toto jsou aktuální hostitelé CI:

Region

Adresy URL hostitelů Common Identity

Jižní a Severní Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Evropská unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Spojené arabské emiráty

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud dojde k tomuto problému, problém vyřeší obejití provozu (nikoliv kontrola) do wbx2.com a ciscospark.com .

Splňte předpoklady pro hybridní zabezpečení dat

Pomocí tohoto kontrolního seznamu ověřte, že jste připraveni nainstalovat a nakonfigurovat hybridní datový bezpečnostní cluster.
1

Ujistěte se, že je pro vaši partnerskou organizaci povolena funkce HDS pro více klientů, a získejte pověření účtu s úplným správcem a právy plnohodnotných správců. Ujistěte se, že má organizace zákazníka služby Webex povolenou službu Pro Pack pro prostředí Cisco Webex Control Hub. Požádejte o pomoc svého partnera společnosti Cisco nebo správce účtu.

Organizace zákazníků by neměly mít žádné stávající nasazení HDS.

2

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a veškeré mezicertifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

3

Připravte identické virtuální hostitele, které ve svém clusteru nastavíte jako uzly hybridního zabezpečení dat. Potřebujete alespoň dva samostatné hostitele (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru, kteří splňují požadavky článku Požadavky na virtuální hostitele.

4

Připravte databázový server, který bude fungovat jako úložiště klíčových dat pro cluster podle požadavků na databázový server. Databázový server musí být kolokalizován v zabezpečeném datovém centru s virtuálními hostiteli.

  1. Vytvořte databázi pro uložení klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Aplikace HDS po instalaci vytvoří schéma databáze.)

  2. Shromážděte podrobnosti, které uzly použijí ke komunikaci s databázovým serverem:

    • název hostitele nebo IP adresa (hostitel) a port

    • název databáze (dbname) pro úložiště klíčů

    • uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů,

5

K rychlému obnovení po havárii nastavte záložní prostředí v jiném datovém centru. Záložní prostředí zrcadlí produkční prostředí virtuálních počítačů a záložní databázový server. Pokud má například výroba 3 virtuální počítače běžící na uzlech HDS, záložní prostředí by mělo mít 3 virtuální počítače.

6

Nastavte hostitele syslog ke shromažďování protokolů z uzlů v clusteru. Shromážděte síťovou adresu a port syslog (výchozí hodnota UDP 514).

7

Vytvořte zásady zabezpečeného zálohování pro uzly hybridního zabezpečení dat, databázový server a hostitele syslog. Abyste předešli nevratné ztrátě dat, musíte přinejmenším zálohovat databázi a konfigurační soubor ISO vygenerovaný pro uzly hybridního zabezpečení dat.

Hybridní datové bezpečnostní uzly ukládají klíče používané při šifrování a dešifrování obsahu, takže nedodržení provozního nasazení bude mít za následek NEOBNOVITELNOU ZTRÁTU tohoto obsahu.

Klienti aplikace Webex ukládají do mezipaměti své klíče, takže výpadek nemusí být okamžitě znatelný, ale časem se stane zřejmým. Je sice nemožné zabránit dočasným výpadkům, ale lze je obnovit. Avšak úplná ztráta (nejsou k dispozici žádné zálohy) souboru databáze nebo konfigurace ISO bude mít za následek neobnovitelná data zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního souboru ISO a budou připraveni znovu vytvořit datové centrum zabezpečení hybridních dat, pokud dojde k katastrofickému selhání.

8

Ujistěte se, že konfigurace brány firewall umožňuje připojení pro hybridní datové bezpečnostní uzly, jak je uvedeno v části Požadavky na externí připojení.

9

Nainstalujte docker (https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Instanci Docker můžete použít ke stažení a spuštění nástroje pro nastavení HDS, který vytváří informace o místní konfiguraci pro všechny uzly hybridního zabezpečení dat. Možná budete potřebovat licenci Docker Desktop. Další informace naleznete v části Požadavky na plochu aplikace Docker .

Aby bylo možné nainstalovat a spustit nástroj pro nastavení HDS, musí mít místní počítač připojení popsané v části Požadavky na externí připojení.

10

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavit hybridní datový bezpečnostní cluster

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

1

Provedení počátečního nastavení a stažení instalačních souborů

Stáhněte soubor OVA do místního počítače a použijte jej později.

2

Vytvoření ISO konfigurace pro hostitele HDS

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

3

Instalace OVA hostitele HDS

Vytvořte virtuální počítač ze souboru OVA a proveďte úvodní konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

4

Nastavit hybridní zabezpečení dat VM

Přihlaste se k konzoli VM a nastavte přihlašovací údaje. Pokud jste je v době nasazení OVA nenakonfigurovali, nakonfigurujte nastavení sítě pro uzel.

5

Nahrání a montáž ISO konfigurace HDS

Virtuální počítač nakonfigurujte z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

6

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy, který budete pro uzel používat, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

7

Zaregistrujte první uzel v clusteru

Zaregistrujte virtuální počítače v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

8

Vytvořit a zaregistrovat více uzlů

Dokončete nastavení clusteru.

9

Aktivujte HDS pro více klientů v prostředí Partner Hub.

Aktivujte HDS a spravujte organizace klientů v prostředí Partner Hub.

Provedení počátečního nastavení a stažení instalačních souborů

V této úloze stáhnete soubor OVA do svého počítače (nikoliv na servery, které nastavíte jako uzly hybridního zabezpečení dat). Tento soubor můžete použít později v procesu instalace.

1

Přihlaste se k partnerskému centru a klikněte na možnost Služby.

2

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Kliknutí na možnost Nastavit v centru Partner Hub je pro proces nasazení zásadní. Instalaci neprovádějte bez dokončení tohoto kroku.

3

Klikněte na možnost Přidat prostředek a klikněte na možnost Stáhnout soubor .OVA na kartě Instalace a konfigurace softwaru .

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady zabezpečení hybridních dat. To může mít při upgradu aplikace za následek problémy. Ujistěte se, že jste stáhli nejnovější verzi souboru s příponou OVA.

OVA si také můžete kdykoli stáhnout z nabídky Nápověda . Klikněte na Nastavení > Nápověda > Stáhnout software zabezpečení hybridních dat.

Soubor OVA se začne automaticky stahovat. Uložte soubor do umístění v počítači.
4

Volitelně klikněte na možnost Zobrazit průvodce nasazením zabezpečení hybridních dat a zkontrolujte, zda je k dispozici pozdější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete
1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO máte tyto možnosti:

  • Ne – pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
  • Ano – pokud jste již uzly HDS vytvořili, vyberte v prohlížeči soubor ISO a nahrajte jej.
10

Zkontrolujte, zda certifikát X.509 splňuje požadavky uvedené v části Požadavky na certifikát X.509.

  • Pokud jste nikdy žádný certifikát nenahráli, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
  • Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
  • Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte Ne pro Pokračovat v používání řetězce certifikátu HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
11

Pro přístup k úložišti klíčů zadejte adresu databáze a účet HDS:

  1. Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

    Pokud vyberete možnost Server Microsoft SQL, zobrazí se pole Typ ověřování.

  2. (pouze Microsoft SQL Server ) Vyberte typ ověřování:

    • Základní ověřování: V poli Uživatelské jméno potřebujete název místního účtu serveru SQL Server.

    • Ověření systému Windows: Potřebujete účet Windows ve formátu username@DOMAIN v poli Uživatelské jméno .

  3. Zadejte adresu databázového serveru ve formuláři : nebo :.

    Příklad:
    dbhost.example.org:1433 nebo 198.51.100.17:1433

    Pro základní ověření můžete použít adresu IP, pokud uzly nemohou k vyřešení názvu hostitele použít server DNS.

    Pokud používáte ověřování v systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433

  4. Zadejte název databáze.

  5. Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíče.

12

Vyberte režim připojení k databázi TLS:

Režim

Popis

Upřednostnit TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázovému serveru TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí vytvořit zašifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a ověřit podpis certifikátu

Tento režim neplatí pro databáze SQL Server.

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Vyžadovat TLS a ověřit podpis a jméno hostitele certifikátu

  • Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

  • Po vytvoření připojení TLS uzel porovná podepsaného certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel přeruší spojení.

  • Uzly také ověří, že název hostitele v certifikátu serveru se shoduje s názvem hostitele v poli Hostitel a port databáze . Jména se musí shodovat, jinak uzel upustí spojení.

Pro nahrání kořenového certifikátu pro tuto možnost použijte ovládání kořenového certifikátu databáze pod rozevíracím seznamem.

Když nahrajete kořenový certifikát (pokud je to nutné) a kliknete na tlačítko Pokračovat, nástroj pro nastavení HDS otestuje připojení TLS k databázovému serveru. Nástroj také ověří podpisovatele certifikátu a případně jméno hostitele. Pokud test selže, nástroj zobrazí chybové hlášení popisující problém. Můžete si vybrat, zda chcete chybu ignorovat, a pokračovat v nastavení. (Z důvodu rozdílů v připojení může být uzly HDS schopny vytvořit připojení TLS, i když jej stroj nástroje pro nastavení HDS nemůže úspěšně otestovat.)

13

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

  1. Zadejte adresu URL serveru syslog.

    Pokud server nelze z uzlů pro váš cluster HDS vyřešit DNS, použijte v adrese URL adresu IP.

    Příklad:
    udp://10.92.43.23:514 udává přihlášení k hostiteli Syslogd 10.92.43.23 na portu UDP 514.

  2. Pokud jste na serveru nastavili použití šifrování TLS, zaškrtněte možnost Je váš server syslog nakonfigurován pro šifrování SSL?.

    Pokud toto políčko zaškrtnete, nezapomeňte zadat adresu URL TCP, například tcp://10.92.43.23:514.

  3. V rozevíracím seznamu Zvolte ukončení záznamu syslog zvolte vhodné nastavení pro soubor ISO: Vybrat nebo se pro TCP Graylog a Rsyslog použije nový řádek

    • Nulový bajt -- \x00

    • Nový řádek -- \n– tuto volbu vyberte pro TCP systémů Graylog a Rsyslog.

  4. Klikněte na tlačítko Pokračovat.

14

(Volitelné) Výchozí hodnotu některých parametrů připojení databáze můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxSize: 10
15

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat .

Hesla servisních účtů mají devítiměsíční životnost. Tuto obrazovku použijte, když se blíží vypršení platnosti vašich hesel nebo je chcete obnovit, aby došlo k zneplatnění předchozích souborů ISO.

16

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17

Vytvořte záložní kopii souboru ISO ve svém místním systému.

Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

18

Chcete-li vypnout nástroj pro nastavení, zadejte CTRL+C.

Co dělat dál

Zálohujte soubor ISO konfigurace. Budete ji potřebovat k vytvoření více uzlů k obnovení nebo ke změnám konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratíte také hlavní klíč. Nelze načíst klíče z databáze PostgreSQL nebo Microsoft SQL Server.

Nikdy nemáme kopii tohoto klíče a pokud ho ztratíte, nemůžeme vám pomoct.

Instalace OVA hostitele HDS

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.
1

Chcete-li se přihlásit k virtuálnímu hostiteli ESXi, použijte klienta VMware vSphere v počítači.

2

Vyberte Soubor > Nasadit šablonu OVF.

3

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

4

Na stránce Vybrat název a složku zadejte název virtuálního počítače pro uzel (například „HDS_Node_1“), zvolte umístění, kde může být nasazení uzlu virtuálního počítače umístěno, a poté klikněte na tlačítko Další.

5

Na stránce Vybrat výpočetní zdroj vyberte cílový výpočetní zdroj a klikněte na tlačítko Další.

Probíhá ověřovací kontrola. Po dokončení se zobrazí podrobnosti o šabloně.

6

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

7

Pokud budete vyzváni k výběru konfigurace prostředků na stránce Konfigurace , klikněte na tlačítko 4 CPU a poté na tlačítko Další.

8

Na stránce Vybrat úložiště klikněte na tlačítko Další a přijměte výchozí formát disku a zásady úložiště virtuálního počítače.

9

Na stránce Vybrat sítě vyberte ze seznamu položek možnost sítě pro zajištění požadovaného připojení k virtuálnímu počítači.

10

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

  • Název hostitele – zadejte FQDN (název hostitele a doménu) nebo jeden slovo název hostitele pro uzel.

    • Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

    • K zajištění úspěšné registrace do cloudu použijte ve formátu FQDN nebo názvu hostitele pouze malá písmena, která jste pro uzel nastavili. Velká písmena nejsou v současné době podporována.

    • Celková délka FQDN nesmí překročit 64 znaků.

  • IP adresa – zadejte adresu IP pro interní rozhraní uzlu.

    Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

  • Maska – Zadejte adresu masky podsítě v tečkové desítkové notaci. Například 255.255.255.0.
  • Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod do jiné sítě.
  • Servery DNS – zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné IP adresy. (Jsou povoleny až 4 položky DNS.)
  • Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze ve vaší organizaci použít. Výchozí servery NTP nemusí fungovat pro všechny podniky. Můžete také použít seznam oddělený čárkami k zadání více serverů NTP.

  • Nasaďte všechny uzly ve stejné podsíti nebo VLAN, aby byly všechny uzly v clusteru dosažitelné z klientů v síti pro účely správy.

V případě potřeby můžete konfiguraci nastavení sítě přeskočit a provést kroky v části Nastavení hybridního datového zabezpečení a nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována v ESXi 7.0. Tato možnost nemusí být dostupná ve starších verzích.

11

Klikněte pravým tlačítkem na uzel VM a zvolte Napájení > Zapnout.

Software zabezpečení hybridních dat je nainstalován jako host hostitele virtuálního počítače. Nyní jste připraveni přihlásit se k konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění několika minut, než se objeví kontejnery uzlu. Během prvního spuštění se na konzole zobrazí zpráva brány firewall mostu, během které se nebudete moci přihlásit.

Nastavit hybridní zabezpečení dat VM

Tento postup použijte k prvnímu přihlášení k konzoli VM uzlu hybridního zabezpečení dat a k nastavení přihlašovacích údajů. Konzolu můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je v době nasazení OVA nenakonfigurovali.

1

V klientovi VMware vSphere vyberte hybridní datový bezpečnostní uzel VM a vyberte kartu Konzola .

Virtuálního počítače se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2

Pro přihlášení a změnu přihlašovacích údajů použijte následující výchozí přihlášení a heslo:

  1. Přihlášení: admin

  2. Heslo: cisco

Když se poprvé přihlašujete k virtuálnímu počítači, musíte změnit heslo správce.

3

Pokud jste již nastavení sítě nakonfigurovali v části Instalace hostitele OVA pro HDS, zbytek tohoto postupu přeskočte. V opačném případě vyberte v hlavní nabídce možnost Upravit konfiguraci .

4

Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi o DNS. Váš uzel musí mít interní IP adresu a název DNS. Protokol DHCP není podporován.

5

(Volitelně) V případě potřeby změňte název hostitele, doménu nebo servery NTP tak, aby odpovídaly zásadám vaší sítě.

Nemusíte nastavovat doménu tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.

6

Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrání a montáž ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zpřístupněn pouze na základě potřeby vědět, a to pro přístup virtuálních virtuálních počítačů pro hybridní zabezpečení dat a všech správců, kteří mohou potřebovat provést změny. Zkontrolujte, zda mají k datovému úložišti přístup pouze tito správci.

1

Nahrajte soubor ISO ze svého počítače:

  1. V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.

  2. Na kartě Konfigurace klikněte na možnost Úložiště.

  3. V seznamu Datové úložiště klikněte pravým tlačítkem na datové úložiště pro virtuální počítače a klikněte na možnost Procházet datové úložiště.

  4. Klikněte na ikonu Nahrát soubory a pak na možnost Nahrát soubor.

  5. Přejděte do umístění, kde jste stáhli soubor ISO do počítače, a klikněte na tlačítko Otevřít.

  6. Kliknutím na tlačítko Ano přijměte upozornění na operaci nahrání/stahování a zavřete dialogové okno datového úložiště.

2

Připojit ISO soubor:

  1. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  2. Kliknutím na tlačítko OK přijměte upozornění na omezené možnosti úprav.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO datového úložiště a vyhledejte umístění, kam jste soubor ISO konfigurace nahráli.

  4. Zaškrtněte možnost Připojeno a Připojit při zapnutí.

  5. Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud to vaše zásady IT vyžadují, můžete volitelně soubor ISO odpojit poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti najdete v části (Volitelné) Odpojení ISO po konfiguraci HDS .

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Ve webovém prohlížeči zadejte adresu URL nastavení uzlu HDS https://[HDS Node IP or FQDN]/setup , zadejte pověření správce, které jste pro uzel nastavili, a klikněte na tlačítko Přihlásit se.

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Zaregistrujte první uzel v clusteru

Tato úloha převezme obecný uzel, který jste vytvořili v části Nastavení hybridního datového zabezpečení, zaregistruje uzel v cloudu Webex a změní jej na hybridní datový bezpečnostní uzel.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů, které byly nasazeny pro zajištění redundance.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

4

Na otevřené stránce klikněte na možnost Přidat prostředek.

5

V prvním poli na kartě Přidat uzel zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel.

Doporučujeme pojmenovat cluster podle zeměpisného umístění uzlů clusteru. Příklady: "San Francisco", "New York" nebo "Dallas"

6

Ve druhém poli zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a v dolní části obrazovky klikněte na tlačítko Přidat .

Tato IP adresa nebo název FQDN by měly odpovídat IP adrese nebo názvu hostitele a doméně, které jste použili v části Nastavení hybridního zabezpečení dat VM.

Zobrazí se zpráva, že můžete uzel zaregistrovat do služby Webex.
7

Klikněte na možnost Přejít na uzel.

Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete organizaci Webex udělit oprávnění k přístupu k uzlu.

8

Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.
9

Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

Na stránce Zabezpečení hybridních dat se na kartě Zdroje zobrazí nový cluster obsahující uzel, který jste zaregistrovali. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvořit a zaregistrovat více uzlů

Chcete-li do clusteru přidat další uzly, jednoduše vytvořte další virtuální počítače, připojte stejný konfigurační soubor ISO a pak uzel zaregistrujte. Doporučujeme mít alespoň 3 uzly.

Než začnete

  • Jakmile zahájíte registraci uzlu, musíte ji dokončit během 60 minut nebo musíte začít znovu.

  • Ujistěte se, že jsou v prohlížeči zakázány všechny blokování vyskakovacích oken nebo že povolíte výjimku pro admin.webex.com.

1

Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS OVA.

2

Nastavte úvodní konfiguraci pro nové virtuální počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače pro zabezpečení dat.

3

U nového virtuálního počítače opakujte kroky v části Nahrání a montáž ISO konfigurace HDS.

4

Pokud nastavujete proxy server pro své nasazení, opakujte podle potřeby kroky v části Konfigurace uzlu HDS pro integraci proxy serveru pro nový uzel.

5

Zaregistrujte uzel.

  1. V https://admin.webex.comnabídce na levé straně obrazovky vyberte možnost Služby .

  2. V části Cloudové služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

    Zobrazí se stránka Zdroje zabezpečení hybridních dat.

  3. Nově vytvořený cluster se zobrazí na stránce Zdroje .

  4. Kliknutím na cluster zobrazíte uzly přiřazené ke clusteru.

  5. Klikněte na Přidat uzel na pravé straně obrazovky.

  6. Zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) vašeho uzlu a klikněte na tlačítko Přidat.

    Otevře se stránka se zprávou, že můžete registrovat uzel do cloudu Webex. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Tam potvrzujete, že chcete své organizaci udělit oprávnění k přístupu k uzlu.

  7. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat.

    Váš účet je ověřen a zpráva „Registrace dokončena“ informuje o tom, že váš uzel je nyní registrován do cloudu Webex.

  8. Kliknutím na odkaz nebo zavřením karty se vraťte na stránku zabezpečení hybridních dat v prostředí Partner Hub.

    Vyskakovací zpráva Přidaný uzel se také zobrazí ve spodní části obrazovky v prostředí Partner Hub.

    Váš uzel je zaregistrován.

Správa organizací klientů v hybridním zabezpečení dat pro více klientů

Aktivace HDS pro více klientů v prostředí Partner Hub

Tato úloha zajišťuje, aby všichni uživatelé zákaznických organizací mohli začít využívat službu HDS pro místní šifrovací klíče a další bezpečnostní služby.

Než začnete

Zkontrolujte, že jste dokončili nastavení clusteru HDS s více klienty s požadovaným počtem uzlů.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

4

Klikněte na možnost Aktivovat HDS na kartě Stav HDS .

Přidat organizace klienta v partnerském centru

V této úloze přiřadíte organizace zákazníků ke svému hybridnímu datovému bezpečnostnímu clusteru.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Klikněte na cluster, ke kterému chcete přiřadit zákazníka.

5

Přejděte na kartu Přiřazení zákazníci.

6

Klikněte na možnost Přidat zákazníky.

7

Z rozevírací nabídky vyberte zákazníka, kterého chcete přidat.

8

Klikněte na tlačítko Přidat, zákazník bude přidán do clusteru.

9

Opakováním kroků 6 až 8 přidejte do clusteru více zákazníků.

10

Jakmile přidáte zákazníky, klikněte na tlačítko Hotovo ve spodní části obrazovky.

Co dělat dál

Spusťte nástroj pro nastavení HDS, jak je podrobně popsáno v části Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS a dokončete proces nastavení.

Vytvoření hlavních klíčů zákazníka (CMK) pomocí nástroje pro nastavení HDS

Než začnete

Přiřaďte zákazníky k příslušnému clusteru, jak je podrobně popsáno v tématu Přidání organizací klientů v partnerském centru. Spusťte nástroj pro nastavení HDS a dokončete proces nastavení pro nově přidané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

Chcete-li spravovat CMK, zkontrolujte připojení k databázi.
11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Vytvořit CMK pro všechny organizace nebo Vytvořit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky vytvoříte CMK pro všechny nově přidané organizace.
  • Klikněte na tlačítko Spravovat CMK na pravé straně obrazovky a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro všechny nově přidané organizace.
  • Klikněte na možnost „@“ poblíž správy CMK, která čeká na stav konkrétní organizace v tabulce, a kliknutím na tlačítko Vytvořit CMK vytvořte CMK pro tuto organizaci.
12

Jakmile bude vytvoření CMK úspěšné, stav v tabulce se změní z čekající správy CMK na spravovanou správu CMK.

13

Pokud vytvoření CMK neproběhne úspěšně, zobrazí se chyba.

Odebrat organizace klientů

Než začnete

Po odebrání nebudou uživatelé organizací zákazníka moci službu HDS využít pro své potřeby šifrování a přijdou o všechny stávající prostory. Před odebráním organizací zákazníka se obraťte na svého partnera společnosti Cisco nebo správce účtu.

1

Přihlaste se k https://admin.webex.com.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Zobrazit vše.

4

Na kartě Zdroje klikněte na cluster, ze kterého chcete odebrat organizace zákazníků.

5

Na otevřené stránce klikněte na Přiřazení zákazníci.

6

Ze seznamu zobrazených organizací zákazníka klikněte na ... na pravé straně organizace zákazníka, kterou chcete odebrat, a klikněte na Odebrat z clusteru.

Co dělat dál

Dokončete proces odebrání zrušením CMK pro organizace zákazníků, jak je popsáno v části Odvolání CMK pro klienty odebrané z HDS.

Zrušit CMK klientů odebraných z HDS.

Než začnete

Odeberte zákazníky z příslušného clusteru, jak je podrobně popsáno v části Odebrání organizací klientů. Spusťte nástroj pro nastavení HDS a dokončete proces odebrání pro odebrané organizace zákazníků.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

docker login -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

6

Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Pomocí webového prohlížeče přejděte na localhost http://127.0.0.1:8080 a po výzvě zadejte uživatelské jméno správce pro platformu Partner Hub.

Nástroj používá tuto první zadání uživatelského jména k nastavení správného prostředí pro tento účet. Nástroj pak zobrazí standardní výzvu k přihlášení.

7

Po vyzvání zadejte přihlašovací údaje správce partnerského centra a kliknutím na tlačítko Přihlásit povolte přístup k požadovaným službám pro hybridní zabezpečení dat.

8

Na stránce s přehledem instalačního nástroje klikněte na tlačítko Začínáme.

9

Na stránce Import ISO klikněte na tlačítko Ano.

10

Vyberte soubor ISO v prohlížeči a nahrajte jej.

11

Přejděte na kartu Správa CMK klienta , kde najdete následující tři způsoby správy CMK klienta.

  • Zrušit CMK pro všechny organizace nebo Zrušit CMK – kliknutím na toto tlačítko v banneru v horní části obrazovky odvoláte CMK všech odebraných organizací.
  • Kliknutím na tlačítko Spravovat CMK napravo od obrazovky a kliknutím na tlačítko Odvolat CMK odvoláte CMK všech odebraných organizací.
  • Klikněte na poblíž CMK pro odvolání konkrétní organizace v tabulce a kliknutím na tlačítko Zrušit CMK odvoláte CMK pro konkrétní organizaci.
12

Jakmile bude zrušení CMK úspěšné, organizace zákazníka se již nebude zobrazovat v tabulce.

13

Pokud zrušení CMK neproběhne úspěšně, zobrazí se chyba.

Otestovat nasazení hybridního zabezpečení dat

Testování nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat pro více klientů.

Než začnete

  • Nastavte nasazení hybridního zabezpečení dat pro více klientů.

  • Ujistěte se, že máte přístup k syslog za účelem ověření, že požadavky na klíče jsou předány do nasazení hybridního zabezpečení dat pro více klientů.

1

Klíče pro daný prostor jsou nastaveny jeho tvůrcem. Přihlaste se do aplikace Webex jako jeden z uživatelů organizace zákazníka a vytvořte prostor.

Pokud nasazení hybridního zabezpečení dat deaktivujete, obsah v prostorech, které uživatelé vytvoří, již nebude dostupný po nahrazení kopií šifrovacích klíčů v mezipaměti klienta.

2

Odeslat zprávy do nového prostoru.

3

Zkontrolujte výstup syslog a ověřte, zda požadavky klíčů přecházejí do nasazení zabezpečení hybridních dat.

  1. Chcete-li zkontrolovat, zda si uživatel nejprve zřizuje zabezpečený kanál do KMS, filtrujte na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrujte podle kms.data.method=retrieve a kms.data.type=KEY:

    Měli byste najít například:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového klíče KMS, filtrujte podle kms.data.method=create a kms.data.type=KEY_COLLECTION:

    Měli byste najít například:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu zdroje KMS (KRO), když je vytvořen prostor nebo jiný chráněný zdroj, filtrujte podle kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

    Měli byste najít například: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat stav zabezpečení hybridních dat

Indikátor stavu v prostředí Partner Hub ukazuje, zda je vše v pořádku s nasazením hybridního zabezpečení dat pro více klientů. Chcete-li získat proaktivnější upozorňování, zaregistrujte se k e-mailovým oznámením. Pokud dojde k ovlivnění servisu nebo aktualizacím softwaru, budete upozorněni.
1

V partnerském centru vyberte možnost Služby z nabídky na levé straně obrazovky.

2

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Upravit nastavení.

Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3

V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte klávesu Enter.

Spravujte nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení zabezpečení hybridních dat.

Nastavit plán upgradu clusteru

Upgrady softwaru pro zabezpečení hybridních dat se provádějí automaticky na úrovni clusteru. Všechny uzly tak vždy používají stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu clusteru. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 (denně) ve Spojených státech amerických: Amerika / Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1

Přihlaste se k partnerskému centru.

2

V nabídce na levé straně obrazovky vyberte možnost Služby.

3

V části Cloudové služby vyhledejte možnost Zabezpečení hybridních dat a klikněte na možnost Nastavit.

4

Na stránce Zdroje zabezpečení hybridních dat vyberte cluster.

5

Klikněte na kartu Nastavení clusteru.

6

Na stránce Nastavení clusteru v části Plán upgradu vyberte čas a časové pásmo pro plán upgradu.

Poznámka: Pod časovým pásmem se zobrazí nejbližší dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit o 24 hodin.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci uzlu Hybridní zabezpečení dat z důvodu, jako jsou:

  • Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

    Nepodporujeme změnu názvu domény KN certifikátu. Doména se musí shodovat s původní doménou použitou k registraci clusteru.

  • Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

    Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server, ani naopak. Chcete-li přepnout databázové prostředí, spusťte nové nasazení Hybrid Data Security.

  • Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla účtů služeb, která mají devítiměsíční životnost. Poté, co nástroj hds setup vygeneruje tato hesla, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO. Pokud se platnost hesel vaší organizace blíží vypršení platnosti, obdržíte od týmu Webex oznámení o resetování hesla pro váš účet počítače. (Součástí e-mailu je text „Pro aktualizaci hesla použijte rozhraní API účtu stroje.") Pokud vaše hesla ještě nevypršela, nástroj vám dává dvě možnosti:

  • Měkké resetování – stará i nová hesla fungují až 10 dnů. Použijte toto období k postupnému nahrazení souboru ISO na uzlech.

  • Tvrdé resetování – stará hesla okamžitě přestanou fungovat.

Pokud vaše hesla vyprší bez resetování, ovlivní to vaši službu HDS, což vyžaduje okamžité tvrdé resetování a výměnu souboru ISO na všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej ve svém clusteru.

Než začnete

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Pro přístup spusťte Docker na tom přístroji. Proces nastavení vyžaduje pověření účtu centra Partner Hub s úplnými právy správce partnera.

    Pokud nemáte licenci Docker Desktop, můžete použít aplikaci Podman Desktop ke spuštění nástroje pro nastavení HDS pro kroky 1.a až 1.e v níže uvedeném postupu. Podrobnosti najdete v části Spuštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop .

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v 1.e. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Pro vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO. ISO obsahuje hlavní klíč šifrující databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně databázových přihlašovacích údajů, aktualizací certifikátů nebo změn v zásadách autorizace, potřebujete ISO.

1

Pomocí Dockeru na místním počítači spusťte nástroj HDS Setup Tool.

  1. Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

    V běžném prostředí:

    docker rmi ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

  2. Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

    docker login -u hdscustomersro

  3. Na výzvu k zadání hesla zadejte tento hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Stáhněte si nejnovější stabilní obrázek pro své prostředí:

    V běžném prostředí:

    docker pull ciscocitg/hds-setup:stable

    V prostředí FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Ujistěte se, že jste pro tento postup vytáhli nejnovější nástroj Nastavení. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

  5. Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

    • V běžném prostředí bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • V běžném prostředí s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V běžném prostředí s HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • V prostředí FedRAMP bez proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s http proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • V prostředích FedRAMP s HTTPS proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

  6. Pomocí prohlížeče se připojte k localhost, http://127.0.0.1:8080.

    Nástroj pro nastavení nepodporuje připojení k hostiteli localhost prostřednictvím http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

  7. Po vyzvání zadejte přihlašovací údaje zákazníka partnerského centra a pokračujte kliknutím na tlačítko Přijmout .

  8. Importovat aktuální konfigurační soubor ISO.

  9. Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

    Chcete-li vypnout nástroj pro nastavení, zadejte CTRL+C.

  10. Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

2

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový hybridní datový bezpečnostní uzel VM a zaregistrujte jej pomocí nového souboru ISO konfigurace. Podrobnější pokyny najdete v tématu Vytvoření a registrace dalších uzlů.

  1. Nainstalujte hostitelské VAJÍČKO HDS.

  2. Nastavte HDS VM.

  3. Připojte aktualizovaný konfigurační soubor.

  4. Zaregistrujte nový uzel v partnerském centru.

3

Pro existující uzly HDS, které spouštějí starší konfigurační soubor, připojte soubor ISO. Proveďte následující postup na každém uzlu v pořadí, aktualizaci každého uzlu před vypnutím dalšího uzlu:

  1. Vypněte virtuální stroj.

  2. V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

  3. Klikněte na CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a vyhledejte umístění, kde jste stáhli nový konfigurační soubor ISO.

  4. Zkontrolujte Connect při zapnutém napájení.

  5. Uložte své změny a napájení na virtuálním stroji.

4

Opakujte krok 3 a nahraďte konfiguraci na každém zbývajícím uzlu, který spouští starou konfiguraci.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí tohoto postupu odeberte hybridní datový bezpečnostní uzel z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k bezpečnostním datům.
1

Pomocí klienta VMware vSphere se přihlaste do virtuálního hostitele ESXi a vypněte virtuální počítač.

2

Odebrat uzel:

  1. Přihlaste se k partnerskému centru a vyberte možnost Služby.

  2. Na kartě Zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.

  3. Výběrem clusteru zobrazíte jeho panel Přehled.

  4. Klikněte na uzel, který chcete odebrat.

  5. Na panelu, který se zobrazí vpravo, klikněte na možnost Zrušit registraci tohoto uzlu .

  6. Uzel můžete také zrušit registraci kliknutím na "@" na pravé straně uzlu a výběrem možnosti Odebrat tento uzel.

3

V klientovi vSphere VM odstraňte. (V levém navigačním podokně klikněte pravým tlačítkem myši na virtuální počítač a klikněte na Odstranit.)

Pokud virtuálního počítače neodstraníte, nezapomeňte demontovat konfigurační soubor ISO. Bez souboru ISO nemůžete použít virtuální počítač pro přístup ke svým bezpečnostním datům.

Obnovení po havárii pomocí datového centra v pohotovostním režimu

Nejkritičtější službou, kterou váš hybridní datový bezpečnostní cluster poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou nové žádosti o vytvoření klíče směrovány do clusteru. Klastr odpovídá také za vrácení vytvořených klíčů všem uživatelům, kteří mají oprávnění je získat, například členům konverzačního prostoru.

Protože klastr plní klíčovou funkci poskytování těchto klíčů, je nezbytně nutné, aby klastr zůstal spuštěný a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo ISO konfigurace použité pro schéma má za následek neobnovitelnou ZTRÁTU obsahu zákazníka. Aby se předešlo takové ztrátě, jsou povinné tyto postupy:

Pokud katastrofa způsobí, že nasazení HDS v primárním datovém centru nebude dostupné, proveďte tento postup pro ruční převzetí služeb při selhání do pohotovostního datového centra.

Než začnete

Zrušte registraci všech uzlů z partnerského centra, jak je uvedeno v části Odebrání uzlu. K provedení níže uvedeného postupu převzetí služeb při selhání použijte nejnovější soubor ISO nakonfigurovaný pro uzly clusteru, který byl dříve aktivní.
1

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v tématu Vytvoření ISO konfigurace pro hostitele HDS.

2

Dokončete proces konfigurace a uložte soubor ISO na snadno dostupné místo.

3

Vytvořte záložní kopii souboru ISO ve svém místním systému. Udržujte záložní kopii v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezte přístup pouze na ty správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

4

V levém navigačním panelu klienta VMware vSphere klikněte pravým tlačítkem na VM a klikněte na tlačítko Upravit nastavení.

5

Klikněte na možnost Upravit nastavení >Disk CD/DVD 1 a vyberte soubor ISO datastore.

Ujistěte se, že jsou zaškrtnuté možnosti Připojeno a Připojit se při zapnutí , aby se aktualizované změny konfigurace mohly zavést po spuštění uzlů.

6

Zapněte uzel HDS a alespoň 15 minut zajistěte, aby nedošlo k žádnému alarmu.

7

Zaregistrujte uzel v partnerském centru. Viz Registrace prvního uzlu v clusteru.

8

Proces opakujte pro každý uzel v pohotovostním datovém centru.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, zrušte registraci uzlů pohotovostního datového centra a opakujte proces konfigurace ISO a registrace uzlů primárního datového centra, jak je uvedeno výše.

(Volitelné) Po konfiguraci HDS odpojení ISO

Standardní konfigurace HDS běží s namontovanou normou ISO. Někteří zákazníci však preferují neustálé připojování souborů ISO. Poté, co všechny uzly HDS vyzvednou novou konfiguraci, můžete soubor ISO odpojit.

K provádění změn konfigurace stále používáte soubory ISO. Při vytváření nové normy ISO nebo aktualizaci normy ISO pomocí instalačního nástroje je nutno aktualizovat normy ISO na všechny uzly HDS. Jakmile všechny uzly převezmou změny konfigurace, můžete tímto postupem znovu odpojit ISO.

Než začnete

Upgradujte všechny uzly HDS na verzi 2021.01.22.4720 nebo novější.

1

Zavřete jeden z uzlů HDS.

2

V zařízení Server vCenter vyberte uzel HDS.

3

Zvolte Upravit nastavení > CD/DVD disk a zrušte zaškrtnutí ISO souboru datového úložiště.

4

Zapněte uzel HDS a zajistěte, aby po dobu nejméně 20 minut nedošlo k žádnému alarmu.

5

Opakujte tento postup pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazit upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo pokud cluster funguje tak pomalu, že si vyžádá časový limit. Pokud se uživatelé nemohou připojit k vašemu clusteru zabezpečení hybridních dat, zobrazí se u nich následující příznaky:

  • Nové prostory nelze vytvořit (nelze vytvořit nové klíče)

  • Nepodařilo se dešifrovat zprávy a názvy prostorů pro:

    • Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)

    • Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)

  • Stávající uživatelé v prostoru budou i nadále úspěšně spouštět, dokud budou mít jejich klienti šifrovací klíče v mezipaměti.

Je důležité, abyste hybridní datový bezpečnostní cluster řádně monitorovali a rychle reagovali na všechny výstrahy, abyste předešli narušení služby.

Upozornění

Pokud dojde k problému s nastavením zabezpečení hybridních dat, centrum Partner Hub zobrazí správci organizace upozornění a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy se týkají mnoha běžných scénářů.

Tabulka 1. Běžné problémy a kroky k jejich řešení

Upozornění

Akce

Selhání přístupu k místní databázi.

Zkontrolujte chyby databáze a problémy s místní sítí.

Chyba připojení místní databáze.

Zkontrolujte, zda je databázový server dostupný a zda byly v konfiguraci uzlu použity správné přihlašovací údaje k účtu služby.

Chyba přístupu ke cloudové službě.

Zkontrolujte, zda mají uzly přístup k serverům Webex podle popisu v části Požadavky na externí připojení.

Obnovení registrace cloudové služby.

Registrace ke cloudovým službám byla přerušena. Probíhá obnovení zápisu.

Registrace cloudové služby byla přerušena.

Registrace ke cloudovým službám byla ukončena. Služba se vypíná.

Služba ještě není aktivována.

Aktivujte HDS v prostředí Partner Hub.

Nakonfigurovaná doména neodpovídá certifikátu serveru.

Ujistěte se, že se váš certifikát serveru shoduje s nakonfigurovanou doménou aktivace služby.

Nejpravděpodobnější příčinou je, že název CN certifikátu byl nedávno změněn a nyní se liší od CN používaného během počátečního nastavení.

Nepodařilo se ověřit cloudové služby.

Zkontrolujte přesnost a případné vypršení přihlašovacích údajů k účtu služby.

Otevření souboru místního úložiště klíčů se nezdařilo.

Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.

Certifikát místního serveru je neplatný.

Zkontrolujte datum konce platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.

Nepodařilo se zveřejnit metriky.

Zkontrolujte přístup k externí cloudovým službám v místní síti.

Adresář /media/configdrive/hds neexistuje.

Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro restartování a zda je správně připojen.

Nastavení organizace klienta nebylo pro přidané organizace dokončeno

Dokončete nastavení vytvořením CMK pro nově přidané organizace klientů pomocí nástroje pro nastavení HDS.

Nastavení organizace klienta nebylo pro odstraněné organizace dokončeno

Dokončete nastavení zrušením CMK organizací klientů, které byly odebrány pomocí nástroje pro nastavení HDS.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů se zabezpečením hybridních dat použijte následující obecné pokyny.
1

Zkontrolujte veškeré výstrahy v prostředí Partner Hub a opravte všechny položky, které tam najdete. Referenci naleznete na obrázku níže.

2

Zkontrolujte výstup serveru syslog pro aktivitu z nasazení zabezpečení hybridních dat. Pomocí filtru pro slova jako „Varování“ a „Chyba“ můžete pomoci při řešení potíží.

3

Kontaktujte podporu společnosti Cisco.

Další poznámky

Známé problémy hybridního zabezpečení dat

  • Pokud ukončíte hybridní datový bezpečnostní cluster (jeho odstraněním v prostředí Partner Hub nebo vypnutím všech uzlů), přijdete o soubor ISO konfigurace nebo přijdete o přístup k databázi klíčů, uživatelé aplikací Webex v organizacích zákazníka již nebudou moci používat prostory v seznamu lidí, které byly vytvořeny pomocí klíčů z vašeho systému KMS. Momentálně nemáme pro tento problém alternativní řešení a vyzýváme vás, abyste nezavřeli služby HDS, jakmile manipulují s aktivními uživatelskými účty.

  • Klient, který má stávající připojení ECDH k systému KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu).

Spouštění nástroje pro nastavení HDS pomocí aplikace Podman Desktop

Podman je svobodný nástroj pro správu kontejnerů s otevřeným zdrojovým kódem, který umožňuje spouštět, spravovat a vytvářet kontejnery. Aplikaci Podman Desktop lze stáhnout z aplikace https://podman-desktop.io/downloads.

  • Nástroj HDS Setup (Nastavení HDS) běží jako dokovací kontejner na místním počítači. Chcete-li získat přístup, stáhněte si a spusťte Podman na tomto počítači. Proces nastavení vyžaduje pověření účtu Control Hub s plnými právy správce pro vaši organizaci.

    Pokud je nástroj pro nastavení HDS ve vašem prostředí spuštěn za serverem proxy, poskytněte nastavení proxy serveru (server, port, přihlašovací údaje) prostřednictvím proměnných prostředí Docker při uvádění kontejneru Docker v kroku 5. V této tabulce jsou uvedeny některé možné proměnné prostředí:

    Popis

    Proměnná

    Http proxy bez autentizace

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS proxy bez autentizace

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Http proxy s autentizací

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS proxy s autentizací

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Generovaný soubor ISO konfigurace obsahuje hlavní klíč pro šifrování databáze PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, jako jsou tyto, potřebujete nejnovější kopii tohoto souboru:

    • Přihlašovací údaje databáze

    • Aktualizace certifikátu

    • Změny zásad autorizace

  • Pokud plánujete šifrovat připojení k databázi, nastavte pro TLS nasazení serveru PostgreSQL nebo SQL.

Proces nastavení zabezpečení hybridních dat vytvoří soubor ISO. Poté použijete normu ISO ke konfiguraci hostitele zabezpečení hybridních dat.

1

Na příkazovém řádku přístroje zadejte příslušný příkaz pro své prostředí:

V běžném prostředí:

podman rmi ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí předchozí obrazy nástrojů pro nastavení HDS. Pokud neexistují žádné předchozí obrázky, vrací chybu, kterou můžete ignorovat.

2

Chcete-li se přihlásit do registru obrázků Dockeru, zadejte následující:

podman login docker.io -u hdscustomersro
3

Na výzvu k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Stáhněte si nejnovější stabilní obrázek pro své prostředí:

V běžném prostředí:

podman pull ciscocitg/hds-setup:stable

V prostředí FedRAMP:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

  • V běžném prostředí bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • V běžném prostředí s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V běžných prostředích se serverem proxy HTTPS:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • V prostředí FedRAMP bez proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s http proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • V prostředích FedRAMP s HTTPS proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, zobrazí se "Expresní server poslouchající na portu 8080."

Co dělat dál

Chcete-li vytvořit nebo změnit konfiguraci ISO, postupujte podle zbývajících kroků v části Vytvořit konfiguraci ISO pro hostitele HDS nebo Změnit konfiguraci uzlu .

Použití OpenSSL k vygenerování souboru PKCS12

Než začnete

  • OpenSSL je jeden nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v nástroji pro nastavení HDS. Existují i jiné způsoby, jak toho dosáhnout a my nepodporujeme ani nepropagujeme jeden způsob přes druhý.

  • Pokud se rozhodnete používat OpenSSL, poskytujeme tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části Požadavky na certifikát X.509. Než budete pokračovat, tyto požadavky si přečtěte.

  • Nainstalujte OpenSSL do podporovaného prostředí. Software a dokumentace najdete v části https://www.openssl.org .

  • Vytvořte soukromý klíč.

  • Tento postup zahajte, až obdržíte certifikát serveru od certifikační autority (CA).

1

Když obdržíte certifikát serveru od certifikační autority, uložte jej jako hdsnode.pem.

2

Zobrazit certifikát jako text a ověřit podrobnosti.

openssl x509 -text -noout -in hdsnode.pem

3

Pomocí textového editoru vytvořte soubor balíčku certifikátů s názvem hdsnode-bundle.pem. Soubor balíčku musí obsahovat certifikát serveru, veškeré certifikáty zprostředkující certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Vytvořte soubor .p12 s přátelským názvem kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Zkontrolujte podrobnosti o certifikátu serveru.

  1. openssl pkcs12 -in hdsnode.p12

  2. Při výzvě k zašifrování soukromého klíče zadejte heslo, aby byl uvedený na výstupu. Poté ověřte, že soukromý klíč a první certifikát obsahují řádky friendlyName: kms-private-key.

    Příklad:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Co dělat dál

Vraťte se k části Splňte předpoklady pro hybridní zabezpečení dat. Soubor hdsnode.p12 a heslo, které jste pro něj nastavili, použijete v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k žádosti o nový certifikát, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz shromažďování odchozích metrik

Hybridní datové bezpečnostní uzly odesílají do cloudu Webex určité metriky. Jedná se například o systémové metriky pro max. počet využitých heap, zatížení procesoru a počet vláken, metriky pro synchronní a asynchronní vlákna, metriky pro výstrahy týkající se prahové hodnoty šifrovacích připojení, latence nebo délky fronty požadavku, metriky na datovém úložišti a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (odděleně od požadavku).

Příchozí provoz

Hybridní datové bezpečnostní uzly přijímají z cloudu Webex následující typy příchozího provozu:

  • Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou

  • Upgraduje na software uzlu

Nakonfigurujte proxy servery Squid pro hybridní zabezpečení dat

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak konfigurovat různé verze Squid tak, aby ignorovaly wss: provoz pro správné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol směrnici do: squid.conf

on_unsupported_protocol tunnel all

Chobotnice 3.5.27

Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly, která byla přidána do části squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Byl tento článek užitečný?
Byl tento článek užitečný?
CenyAplikace WebexSchůzkyCallingZasílání zprávSdílení obrazovky
Webex SuiteCallingSchůzkyZasílání zprávSlidoWebinářeEventsKontaktní centrumCPaaSZabezpečeníControl Hub
Náhlavní soupravyKameryŘada stolůŘada RoomŘada BoardŘada PhonePříslušenství
VzděláváníZdravotní péčeVládaFinanceSport a zábavaFrontlineNeziskové aktivityStart-upyHybridní práce
Stažené souboryPřipojit se k testovací schůzceOnline lekceIntegraceUsnadnění přístupuInkluzivitaWebináře naživo a na vyžádáníKomunita WebexVývojáři WebexNovinky a inovace
CiscoKontaktovat podporuKontaktovat obchodní odděleníWebex BlogMyšlenkový leadership WebexObchod Webex MerchKariéra
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Smluvní podmínkyProhlášení o ochraně osobních údajůSoubory cookieOchranné známky
©2025 Společnost Cisco a/nebo její pobočky. Všechna práva vyhrazena.
Smluvní podmínkyProhlášení o ochraně osobních údajůSoubory cookieOchranné známky