- Hjem
- /
- Artikel
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passen