- Hjem
- /
- Artikel
Udrulningsvejledning til Webex-hybrid-datasikkerhed
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxysupport
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
| ||||||||||||
3 | Ved adgangskodeprompten skal du indtaste denne hash:
| ||||||||||||
4 | Download det seneste stabile billede til dit miljø: I almindelige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når containeren kører, kan du se "Express-server lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | For at lukke opsætningsværktøjet skal du indtaste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem . |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509-certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.
Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:
Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.
Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja . |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markeringen af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato | Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 | Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 | Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 | HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 | HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 | Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 | Opdaterede installationsfiler til download. | ||
8. oktober 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 | Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 | Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 | Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 | Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 | Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 | Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 | Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 | Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 | Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 | Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 | Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdatacenter, så ingen undtagen du har nøglerne til dit krypterede indhold.
Sikkerhedsarkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Efter konfiguration passiveMode
i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode
konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxyunderstøttelse
Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatstyring og til at kontrollere den samlede forbindelsesstatus, når du har konfigureret proxyen på noderne.
Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
HTTP – Viser og styrer alle anmodninger, som klienten sender.
HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
Godkendelsestype – vælg blandt følgende godkendelsestyper:
Ingen – Ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
Eksempel på hybrid-datasikkerhedsknuder og proxy
Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.
Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement for Docker Desktop. Få flere oplysninger i blogindlægget Docker, "Docker opdaterer og udvider vores produktabonnementer".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav | Detaljer |
---|---|
| Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
| CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
| KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
| Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle vært
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) | Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation | Protokol | Port | Retning fra appen | Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder | TCP | 443 | Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj | TCP | 443 | Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område | URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxyserverkrav
Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.
Gennemsigtig proxy – Cisco Web Security Appliance (WSA).
Eksplicit proxy – squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
Ingen godkendelse med HTTP eller HTTPS
Grundlæggende godkendelse med HTTP eller HTTPS
Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre webstikforbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til
wbx2.com
ogciscospark.com
løser problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 | Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 | Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 | Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 | Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 | For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 | Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 | Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at data ikke kan gendannes, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl. | ||
8 | Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 | Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse. | ||
10 | Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 | Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 | Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 | Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 | Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 | Konfigurer HDS-noden til proxyintegration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 | Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 | Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 | Kør en prøveversion, og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 | Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 | I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 | Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 | Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. Kør Docker på den maskine for at få adgang til den. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel indeholder nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
Legitimationsoplysninger til database
Certifikatopdateringer
Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 | På din maskins kommandolinje skal du indtaste den relevante kommando for dit miljø: I almindelige miljøer:
I FedRamp-miljøer:
| ||||||||||||
2 | Indtast følgende for at logge ind på Docker-billedregistret:
| ||||||||||||
3 | Indtast dette hash i meddelelsen om adgangskode:
| ||||||||||||
4 | Download det seneste stabile billede for dit miljø: I almindelige miljøer:
I FedRamp-miljøer:
| ||||||||||||
5 | Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:
Når beholderen kører, ser du "Ekspresserver, der lytter til port 8080". | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 | Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 | Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 | På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 | Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 | Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 | Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 | Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 | (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:
| ||||||||||||
15 | Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 | Klik på Download ISO-fil. Gem filen på en placering, der er let at finde. | ||||||||||||
17 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 | Hvis du vil lukke opsætningsværktøjet, skal du skrive |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 | Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 | Vælg Fil > Installer OVF-skabelon. | ||||||
3 | I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste. | ||||||
4 | Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 | Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 | Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 | Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste. | ||||||
8 | Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 | Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 | På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 | Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Tips til fejlfinding Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 | I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 | Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 | Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 | Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 | (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 | Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 | Overfør ISO-filen fra din computer: |
2 | Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-noden til proxyintegration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.
Før du begynder
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 | Indtast URL-adressen til opsætning af HDS-node |
2 | Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:
Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy. |
3 | Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen. |
4 | Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 | Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft. |
6 | Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter. |
7 | Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Log på https://admin.webex.com. |
2 | Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 | Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 | I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 | I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 | Klik på Gå til node. |
8 | Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 | Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 | Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 | Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 | Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 | På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 | Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 | Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 | Synkroniser om nødvendigt Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 | Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 | Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 | Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup
gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 | Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 | Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 | Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 | Send meddelelser til det nye rum. | ||
3 | Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 | I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 | I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 | Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 | Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem. |
Flyt fra prøveversion til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion. |
4 | Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 | Log ind på Control Hub, og vælg derefter Tjenester. |
2 | Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 | Klik på Deaktiver i sektionen Deaktiver. |
4 | Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 | Log ind på Control Hub. |
2 | På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 | På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 | Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 | På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
Ændring af x.509 certifikater på grund af udløb eller andre årsager.
Vi understøtter ikke ændring af et certifikats CN-domænenavn. Domænet skal stemme overens med det oprindelige domæne, der bruges til at registrere klyngen.
Opdatering af databaseindstillinger for at ændre til en kopi af PostgreSQL- eller Microsoft SQL-serverdatabasen.
Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL-server eller omvendt. Hvis du vil skifte databasemiljøet, skal du starte en ny installation af hybrid-datasikkerhed.
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Til sikkerhedsformål bruger hybrid datasikkerhed også tjenestekontoadgangskoder, der har en ni måneders levetid. Når værktøjet HDS-opsætning genererer disse adgangskoder, skal du installere dem til hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden til din maskinkonto. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden.") Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to valgmuligheder:
Softwaretilpasning – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til gradvist at udskifte ISO-filen på noderne.
Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker den din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO-filen på alle knuder.
Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.
Før du begynder
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. Kør Docker på den maskine for at få adgang til den. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel indeholder nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 | Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 | Hvis du kun har én HDS-node i gang, opret en ny hybrid-datasikkerhedsnode VM, og registrer den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 | For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO-filen. Udfør følgende fremgangsmåde på hver node efter tur, og opdater hver node, før den næste node deaktiveres: |
4 | Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Deaktiver blokeret ekstern DNS-opløsningstilstand
Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.
Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.
Før du begynder
1 | I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 | Gå til Oversigt (standardsiden). Når den er aktiveret, indstilles blokeret ekstern DNS-opløsning til Ja. |
3 | Gå til siden Trust Store & Proxy . |
4 | Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej. |
Næste trin
Fjern en node
1 | Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 | Fjern noden: |
3 | I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 | Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 | Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 | På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne
| ||
4 | Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 | Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 | I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.. | ||
7 | Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 | Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 | Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 | Luk en af dine HDS-knudepunkter ned. |
2 | Vælg HDS-noden i vCenter-serverapparatet. |
3 | Vælg markering af datastore ISO-fil. , og fjern |
4 | Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 | Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
Nye brugere føjet til et rum (kan ikke hente nøgler)
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel | Handling |
---|---|
Adgang til lokal database mislykkedes. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Tilmelding til cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 | Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 | Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 | Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 | Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 | Vis certifikatet som tekst, og bekræft detaljerne.
|
3 | Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes
|
4 | Opret .p12-filen med det venlige navn
|
5 | Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12
fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer til hybrid-datasikkerhed
Websocket kan ikke oprette forbindelse via squid-proxy
Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:
) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss:
trafik med henblik på korrekt drift af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf
. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nye og ændrede oplysninger
Dato |
Ændringer foretaget | ||
---|---|---|---|
20. oktober 2023 |
| ||
07. august 2023 |
| ||
23. maj 2023 |
| ||
Den 06. december 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 |
Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop. | ||
24. juni 2021 |
Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil. | ||
30. april 2021 |
Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger. | ||
24. februar 2021 |
HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger. | ||
2. februar 2021 |
HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. | ||
11. januar 2021 |
Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. | ||
13. oktober 2020 |
Opdaterede installationsfiler til download. | ||
8. oktober 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer. | ||
14. august 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen. | ||
5. august 2020 |
Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser. Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter. | ||
16. juni 2020 |
Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. | ||
4. juni 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive. | ||
29. maj 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer. | ||
5. maj 2020 |
Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5. | ||
21. april 2020 |
Opdaterede eksterne forbindelseskrav med nye Americas CI-værter. | ||
1. april 2020 |
Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter. | ||
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet. | ||
4. februar 2020 | Opdaterede proxyserverkrav. | ||
16. december 2019 | Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav. | ||
19. november 2019 |
Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit: | ||
8. november 2019 |
Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed:
| ||
6. september 2019 |
Tilføjede SQL-serverstandard til databaseserverkrav. | ||
29. august 2019 | Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift. | ||
20. august 2019 |
Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden. Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh. | ||
13. juni 2019 | Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere Hds prøvegruppeobjektet, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering. | ||
6. marts 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
Den 5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. maj 2018 |
Ændret terminologi for at afspejle genbranding af Cisco Spark:
| ||
Den 11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
Den 2. november 2017 |
| ||
18. august 2017 |
Udgivet første gang |
Oversigt over hybriddatasikkerhed
Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.
Sikkerhedsrådets arkitektur
Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger som f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.
I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og den er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:
-
Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
-
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
-
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
-
Den krypterede meddelelse gemmes i hukommelsesdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.
Forventninger til installation af hybrid-datasikkerhed
En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.
For at installere hybrid-datasikkerhed skal du angive:
-
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
-
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.
Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
-
Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
-
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation. |
Opsætningsproces på højt niveau
Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:
Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
-
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
-
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.
Hybrid-datasikkerhedsmodel
I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)
Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.
Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.
Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. for at udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.
Standby-datacenter til genoprettelse af katastrofer
Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.
De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.
De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver. |
Opsætning af standby-datacenter til genoprettelse af katastrofer
Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:
Før du begynder
-
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
-
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.
1 |
Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.
| ||
2 |
Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 |
På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.
| ||
4 |
Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 |
Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 |
Højreklik på VM-ware v Shere-klientens venstre navigationsrude, og klik på Rediger indstillinger.. | ||
7 |
Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 |
Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 |
Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
Når du har konfigureret
passiv tilstand i ISO-filen og gemt den, kan du oprette en anden kopi af ISO-filen uden konfigurationen af
passiv tilstand og gemme den på en sikker placering. Denne kopi af ISO-filen uden konfigureret passiv
tilstand kan hjælpe med en hurtig failover-proces under gendannelse af katastrofer. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.
Proxy-support
Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.
Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:
-
Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikat opdatering er påkrævet.
-
Gennemsigtig ikke-inspektionsproxy – noderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikat opdatering er påkrævet.
-
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
-
Eksplicit proxy – Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
-
Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
-
Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.
-
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
-
HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.
-
HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.
-
-
Godkendelsestype – vælg mellem følgende godkendelsestyper:
-
Ingen – Ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
-
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
Kræver, at du indtaster brugernavn og adgangskode på hver knude.
-
Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.
Kræver, at du indtaster brugernavn og adgangskode på hver knude.
-
-
Eksempel på hybrid-data sikkerheds knuder og proxy
Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.
Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)
Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan installeres hybrid-datasikkerhed:
-
Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav til Docker-desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".
X.509 certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav |
Oplysninger |
---|---|
|
Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne. |
|
KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
|
Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.
Krav til virtuelle værter
De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:
-
Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
-
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.
Du skal opgradere, hvis du har en tidligere version af ESXI.
-
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server
Databaseserverkrav
Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret. |
Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:
PostmesterSQL |
Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostmesterSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 |
SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse mod Microsoft SQL-server
Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:
-
HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
-
Den Windows-konto, du leverer til HDS-noder, skal have læse-/skriveadgang til databasen.
-
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
-
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:
Applikation |
Protocol |
Port |
Retning fra appen |
Destination |
---|---|---|---|---|
Hybrid-datasikkerhedsnoder |
TCP |
443 |
Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj |
TCP |
443 |
Udgående HTTPS |
|
Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål. |
URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:
Område |
URL-adresser for fælles identitet-vært |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxy server krav
-
Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.
-
Gennemsigtig proxy – Cisco web Security-Appliance (WSA).
-
Eksplicit proxy-squid.
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.
-
-
Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:
-
Ingen godkendelse med HTTP eller HTTPS
-
Grundlæggende godkendelse med HTTP eller HTTPS
-
Samlet godkendelse kun med HTTPS
-
-
For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.
-
Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
-
Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til
wbx2.com
ogciscospark.com
løse problemet.
Udfyld forudsætningerne for hybriddatasikkerhed
1 |
Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces. | ||
2 |
Vælg et domænenavn til din HDS-installation (f.eks. | ||
3 |
Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter. | ||
4 |
Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter. | ||
5 |
For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. | ||
6 |
Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514). | ||
7 |
Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at data ikke kan gendannes, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.
Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsnoderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationsfilen og være klar til at genopbygge hybrid-datasikkerhedscentret, hvis der opstår en katastrofal fejl. | ||
8 |
Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav. | ||
9 |
Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er angivet i kravene til ekstern forbindelse. | ||
10 |
Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene. | ||
11 |
Hvis din organisation bruger adressebogssynkronisering, skal du oprette en gruppe i Active Directory, der
|
Opgaveflow for installation af hybrid-datasikkerhed
Før du begynder
1 |
Download OVA-filen til din lokale maskine til senere brug. | ||
2 |
Opret en konfigurations-ISO for HDS-værter Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne. | ||
3 |
Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.
| ||
4 |
Konfigurer hybrid-datasikkerhed VM Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen. | ||
5 |
Overfør og monter HDS-konfigurations-ISO Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet. | ||
6 |
Konfigurer HDS-knudepunkt for proxy integration Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt. | ||
7 |
Tilmeld den første node i klyngen Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode. | ||
8 |
Opret og tilmeld flere knudepunkter Fuldfør klyngeopsætningen. | ||
9 |
Kør en prøveversion og flyt til produktion (næste kapitel) Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret. |
Download installationsfiler
1 |
Log ind på https://admin.webex.com, og klik derefter på Tjenester. | ||||
2 |
I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt. Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.
| ||||
3 |
Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste. OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
| ||||
4 |
Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig. |
Opret en konfigurations-ISO for HDS-værter
Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.
Før du begynder
-
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
-
Legitimationsoplysninger til database
-
Certifikatopdateringer
-
Ændringer i godkendelsespolitikken
-
-
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.
1 |
Indtast den relevante kommando for dit miljø i din maskines kommandolinje: I almindelige miljøer: I FedRAMP-miljøer:
| ||||||||||||
2 |
For at logge ind på Docker-billedregistreringen skal du indtaste følgende: | ||||||||||||
3 |
I adgangskodeanmodningen skal du indtaste denne hash: | ||||||||||||
4 |
Download det seneste stabilt billede til dit miljø: I almindelige miljøer: I FedRAMP-miljøer: | ||||||||||||
5 |
Når træk er fuldført, indtast den relevante kommando for dit miljø:
Når beholderen kører, ser du "Express-serveren lytter på port 8080." | ||||||||||||
6 |
Brug en webbrowser til at gå til den lokale vært, Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login. | ||||||||||||
7 |
Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed. | ||||||||||||
8 |
Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning. | ||||||||||||
9 |
På siden ISO-import har du disse valgmuligheder:
| ||||||||||||
10 |
Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.
| ||||||||||||
11 |
Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik: | ||||||||||||
12 |
Vælg en TLS-databaseforbindelsestilstand:
Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.) | ||||||||||||
13 |
Konfigurer din Syslogd-server på siden Systemlogfiler: | ||||||||||||
14 |
(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du gerne vil ændre: | ||||||||||||
15 |
Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti. Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer. | ||||||||||||
16 |
Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde. | ||||||||||||
17 |
Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||||||||||||
18 |
For at lukke opsætningsværktøjet skal du taste |
Næste trin
Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.
Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den. |
Installer HDS-værtens OVA
1 |
Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært. | ||||||
2 |
Vælg Fil > Installer OVF-skabelon. | ||||||
3 |
I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke på Næste. | ||||||
4 |
På siden Vælg et navn og mappe skal du indtaste et virtuelt maskinnavn for noden (f.eks. "HDS_Node_1"), vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste. | ||||||
5 |
På siden Vælg en computerressource skal du vælge destinationscomputerressourcen og derefter klikke på Næste. Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne. | ||||||
6 |
Bekræft skabelonoplysningerne, og klik derefter på Næste. | ||||||
7 |
Hvis du bliver bedt om at vælge ressourcekonfigurationen på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste. | ||||||
8 |
På siden Vælg hukommelse skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitik. | ||||||
9 |
På siden Vælg netværk skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM. | ||||||
10 |
På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:
Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.
| ||||||
11 |
Højreklik på noden VM, og vælg derefter .Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden. Fejlfindingstip Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind. |
Konfigurer hybrid-datasikkerhed VM
Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.
1 |
I VM-ware v Shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
|
2 |
Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden. |
3 |
Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration . |
4 |
Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke. |
5 |
(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet. |
6 |
Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft. |
Overfør og monter HDS-konfigurations-ISO
Før du begynder
Da ISO-filen har hovednøglen, bør den kun udsættes på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.
1 |
Overfør ISO-filen fra din computer: |
2 |
Monter ISO-filen: |
Næste trin
Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.
Konfigurer HDS-knudepunkt for proxy integration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.
Før du begynder
-
Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
1 |
Indtast URL-adresse til opsætning af HDS-knude |
2 |
Gå til Trust store & proxy, og vælg derefter en valgmulighed:
Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy. |
3 |
Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen. |
4 |
Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet. Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand. |
5 |
Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft. |
6 |
Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar. Knuden genstarter inden for et par minutter. |
7 |
Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status. Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen. |
Tilmeld den første node i klyngen
Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.
Før du begynder
-
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
-
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 |
Log på https://admin.webex.com. |
2 |
Fra menuen i venstre side af skærmen skal du vælge Tjenester. |
3 |
I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
|
4 |
Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste. |
5 |
I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal stemme overens med den IP-adresse eller værtsnavn og domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
|
7 |
Klik på Gå til node. |
8 |
Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
|
9 |
Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
|
10 |
Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.
|
Opret og tilmeld flere knudepunkter
På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter. |
Før du begynder
-
Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
-
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.
1 |
Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA. |
2 |
Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM. |
3 |
På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO. |
4 |
Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node. |
5 |
Registrer noden. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
|
Næste trin
Prøveversion til produktionsopgaveflow
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.
Før du begynder
1 |
Synkroniser, hvis det er relevant, Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge gruppelejet |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 |
Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation. |
4 |
Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 |
Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge gruppelejet Hds-prøvegruppe
til synkronisering med skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.
1 |
Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 |
Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
|
4 |
Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din hybrid-datasikkerhedsinstallation
Før du begynder
-
Konfigurer din hybrid-datasikkerhedsinstallation.
-
Aktivér prøveversionen, og tilføj flere prøvebrugere.
-
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
1 |
Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.
| ||
2 |
Send meddelelser til det nye rum. | ||
3 |
Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation. |
Overvåg Hybrid Data Security Health
1 |
I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen. |
2 |
I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 |
Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter. |
Tilføj eller fjern brugere fra din prøveperiode
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, Hds-prøvegruppe
; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen. |
4 |
Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem. |
Flyt fra prøveversion til produktion
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
Klik på Flyt til produktion i afsnittet Status for tjeneste i Flyt til produktion. |
4 |
Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut din prøveperiode uden at flytte til produktion
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under Hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
Klik på Deaktiver i sektionen Deaktiver. |
4 |
Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen. |
Administrer HDS-installation
Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.
Indstil tidsplan for klyngeopgradering
Sådan indstilles opgraderingsplanen:
1 |
Log ind på Control Hub. |
2 |
På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed. |
3 |
På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen. |
4 |
Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger. |
5 |
På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Rediger nodekonfigurationen
-
Ændring af x.509-certifikater pga. udløb eller andre årsager.
Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.
-
Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.
-
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:
-
Softwaretilpasning – Både gamle og nye adgangskoder fungerer i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.
-
Hård nulstilling – de gamle adgangskoder stopper med at fungere med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.
Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.
Før du begynder
-
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
-
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 |
Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 |
Hvis du kun har én HDS-node i gang, opret en ny hybrid-datasikkerhedsnode VM, og registrer den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner. |
3 |
For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra: |
4 |
Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Slå blokeret ekstern DNS-opløsnings tilstand fra
Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.
Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.
Før du begynder
1 |
I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind. |
2 |
Gå til Oversigt (standardsiden). Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja. |
3 |
Gå til siden Trust store & proxy . |
4 |
Klik på Kontroller proxy forbindelse. Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden. |
Næste trin
Fjern en node
1 |
Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine. |
2 |
Fjern noden: |
3 |
I vShere-klienten skal du slette VM. (Højreklik på VM i navigationsruden til venstre, og klik på Slet.) Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata. |
Genoprettelse af katastrofer ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.
1 |
Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter. | ||
2 |
Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger | ||
3 |
På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne konfigurationen
| ||
4 |
Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. | ||
5 |
Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer. | ||
6 |
Højreklik på VM-ware v Shere-klientens venstre navigationsrude, og klik på Rediger indstillinger.. | ||
7 |
Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.
| ||
8 |
Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. | ||
9 |
Gentag processen for hver knude i standbydatacenteret.
|
Næste trin
(Valgfri) Fjern ISO efter HDS-konfiguration
Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.
1 |
Luk en af dine HDS-knudepunkter ned. |
2 |
Vælg HDS-noden i vCenter-serverapparatet. |
3 |
Vælg Datastore ISO-fil. fjern markeringen af |
4 |
Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter. |
5 |
Gentag for hver HDS-node efter tur. |
Vis varsler og fejlfinding
En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
-
Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
-
Meddelelser og rumtitler kan ikke dekrypteres for:
-
Nye brugere føjet til et rum (kan ikke hente nøgler)
-
Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
-
-
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.
Varsel |
Handling |
---|---|
Fejl ved lokal databaseadgang. |
Kontrollér for databasefejl eller lokale netværksproblemer. |
Lokal databaseforbindelse mislykkedes. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen. |
Adgang til cloud-tjeneste mislykkedes. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse. |
Fornyelse af registrering af cloud-tjeneste. |
Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang. |
Registrering af cloudtjeneste blev droppet. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker. |
Tjeneste endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion. |
Det konfigurerede domæne matcher ikke servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning. |
Kunne ikke godkendes til cloudtjenester. |
Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb. |
Kunne ikke åbne lokal tastaturfil. |
Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed. |
Kan ikke postere målinger. |
Kontrollér lokal netværksadgang til eksterne cloud-tjenester. |
/media/configdrive/hds-telefonbogen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 |
Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. |
2 |
Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed. |
3 |
Kontakt Cisco-support. |
Kendte problemer med hybrid-datasikkerhed
-
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
-
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).
Brug åbenSSL til at generere en PKCS12-fil
Før du begynder
-
OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
-
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
-
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
-
Opret en privat nøgle.
-
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).
1 |
Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 |
Vis certifikatet som tekst, og bekræft detaljerne.
|
3 |
Brug et tekstredigeringsprogram til at oprette en certifikatpakke-fil kaldet
|
4 |
Opret .p12-filen med det venlige navn
|
5 |
Kontrollér servercertifikatoplysningerne. |
Næste trin
Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge filen hdsnode.p12
og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber. |
Trafik mellem HDS-knudepunkterne og skyen
Indsamlingstrafik for udgående målinger
Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:
-
Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
-
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer for hybrid-data sikkerhed
WebSocket kan ikke oprette forbindelse via Squid-Proxy
Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:
)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS:
trafik til korrekt funktion af tjenesterne.
Squid 4 og 5
Tilføj on_unsupported_protocol
direktivet til squid.conf
:
on_unsupported_protocol tunnel alle
Squid 3.5.27
Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf
. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection-spaltning ssl_bump wss MercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl trin3 at_step Sslssl_bump Bump3 peek trin1 ssl_bump alle startrin2 ssl_bump bump trin3
Foransigt
Nye og ændrede oplysninger
Dato |
Ændringer foretaget |
---|---|
20. oktober 2023 |
|
7. august 2023 |
|
23. maj 2023 |
|
06. december 2022 |
|
23. november 2022 |
|
13. oktober 2021 |
Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker Desktop. |
24. juni 2021 |
Bemærkede, at du kan genbruge den private nøglefil og CSR for at anmode om et andet certifikat. Se Brug OpenSSL til at generere en PKCS12-fil for yderligere oplysninger. |
30. april 2021 |
Ændrede VM-kravet for lokal harddiskplads til 30 GB. Se Krav til virtuel vært for yderligere oplysninger. |
24. februar 2021 |
HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfiguration-ISO for HDS-værter for at få flere oplysninger. |
2. februar 2021 |
HDS kan nu køre uden en monteret ISO-fil. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger. |
11. januar 2021 |
Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter. |
13. oktober 2020 |
Opdateret Download installationsfiler. |
8. oktober 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter , og Skift nodekonfigurationen med kommandoer til FedRAMP-miljøer. |
14. august 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter , og Skift nodekonfigurationen med ændringer i logonprocessen. |
5. august 2020 |
Opdateret Test din hybrid-datasikkerhedsudrulning for ændringer i logmeddelelser. Opdaterede krav til virtuel vært for at fjerne det maksimale antal værter. |
16. juni 2020 |
Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen. |
4. juni 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, som du kan indstille. |
29. maj 2020 |
Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL Server-databaser, ændringer i brugergrænsefladen og andre præciseringer. |
5. maj 2020 |
Opdaterede krav til virtuel vært for at vise nye krav til ESXi 6.5. |
21. april 2020 |
Opdaterede krav til ekstern forbindelse med nye Americas CI-værter. |
1. april 2020 |
Opdaterede krav til ekstern forbindelse med oplysninger om regionale CI-værter. |
20. februar 2020 | Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om nye valgfri skærm for avancerede indstillinger i HDS-opsætningsværktøjet. |
4. februar 2020 | Opdaterede krav til proxyserver. |
16. december 2019 | Præciserede kravet om, at tilstanden Blokeret ekstern DNS-opløsning skal fungere i Krav til proxyserver. |
19. november 2019 |
Tilføjede oplysninger om tilstanden Blokeret ekstern DNS-opløsning i følgende afsnit: |
8. november 2019 |
Du kan nu konfigurere netværksindstillinger for en node, mens OVA'en installeres i stedet for bagefter. Følgende afsnit blev opdateret i overensstemmelse hermed: Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner. |
6. september 2019 |
Tilføjede SQL Server Standard til Databaseserverkrav. |
29. august 2019 | Tilføjet Konfigurer Squid-proxyer til hybrid-datasikkerhed -tillæg med vejledning til konfiguration af Squid-proxyer til at ignorere websocket-trafik for korrekt drift. |
20. august 2019 |
Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybriddatasikkerhedsknudekommunikation til Webex Cloud. Hvis du kun vil have adgang til proxysupportindholdet for en eksisterende udrulning, kan du se hjælpeartiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh . |
13. juni 2019 | Opdateret Prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup -gruppeobjektet, før du starter en prøveversion, hvis din organisation bruger mappesynkronisering. |
6. marts 2019 |
|
28. februar 2019 |
|
26. februar 2019 |
|
24. januar 2019 |
|
5. november 2018 |
|
19. oktober 2018 |
|
31. juli 2018 |
|
21. maj 2018 |
Ændret terminologi for at afspejle rebranding af Cisco Webex Teams:
|
11. april 2018 |
|
22. februar 2018 |
|
15. februar 2018 |
|
18. januar 2018 |
|
2. november 2017 |
|
18. august 2017 |
Første offentliggjort |
Kom godt i gang med hybrid-datasikkerhed
Oversigt over hybrid-datasikkerhed
Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er kryptering af slutpunkt-til-slutpunkt-indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.
Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.
Arkitektur for sikkerhedsdomæne
Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.
For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.
I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:
-
Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
-
Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.
-
Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.
-
Den krypterede meddelelse gemmes i lagerdomænet.
Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.
Samarbejde med andre organisationer
Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.
Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din hybrid-datasikkerhedsudrulning.
Forventninger til implementering af hybrid-datasikkerhed
En hybrid-datasikkerhedsudrulning kræver betydelig kundeengagement og opmærksomhed på de risici, der følger med at eje krypteringsnøgler.
For at implementere hybrid-datasikkerhed skal du angive:
-
Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planer.
-
Det udstyr, den software og netværksadgang, der er beskrevet i .
Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:
-
Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.
-
Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.
Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.
Opsætningsproces på højt niveau
Dette dokument omhandler opsætningen og administrationen af en hybrid-datasikkerhedsudrulning:
Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af den nødvendige infrastruktur og installation af hybrid-datasikkerhedssoftware, test af din installation med et undersæt af brugere i prøveversionstilstand, og når din test er fuldført, gå over til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøve- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
-
Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Control Hub.
-
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.
Udrulningsmodel for hybrid-datasikkerhed
I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.
Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).
Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).
Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.
Knudepunkter bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.
Vi understøtter kun en enkelt klynge pr. organisation.
Prøvetilstand for hybrid-datasikkerhed
Når du har konfigureret en hybrid-datasikkerhedsudrulning, skal du først prøve den med et sæt pilotbrugere. I prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedsressourcetjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsdomænet.
Hvis du beslutter ikke at fortsætte med installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugerne og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.
Hvis du er sikker på, at din installation fungerer godt for brugerne af prøveversionen, og du er klar til at udvide hybrid-datasikkerheden til alle dine brugere, skal du flytte installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke flytte frem og tilbage mellem produktionstilstand og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre katastrofegenoprettelse, skal du starte en ny prøveversion, når du genaktiverer den, og opsætte sættet af pilotbrugere til den nye prøveversion, før du går tilbage til produktionstilstand. Hvorvidt brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopieringer af nøgledatalageret og ISO-konfigurationsfilen til hybrid-datasikkerhedstjeneste i din klynge.
Standby-datacenter til gendannelse efter nedbrud
Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.
Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standby-datacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver noderne i standby-datacenteret altid opdaterede med den seneste version af HDS-softwaren.
De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.
Konfigurer standbydatacenter til gendannelse efter nedbrud
Følg trinene herunder for at konfigurere ISO-filen for standby-datacenteret:
Før du begynder
-
Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en backup-PostgreSQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby-datacenter til katastrofegenoprettelse for at få en oversigt over denne failover-model).
-
Sørg for, at databasesynkronisering er aktiveret mellem databasen med aktive og passive klyngeknudepunkter.
1 |
Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter. ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvortil følgende konfigurationsopdateringer skal foretages. |
2 |
Når Syslogd-serveren er konfigureret, skal du klikke på Avancerede indstillinger |
3 |
På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og er forbundet til skyen, men håndterer ikke trafik.
|
4 |
Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. |
5 |
Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer. |
6 |
Højreklik på VMware vSphere-klientens venstre navigationsrude, og klik på Rediger indstillinger.. |
7 |
Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring. Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet. |
8 |
Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. |
9 |
Gentag processen for hver node i standby-datacenteret. Kontrollér syslogs for at bekræfte, at knuderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs. |
Næste trin
Når du har konfigureret passiveMode
i ISO-filen og gemt den, kan du oprette en anden kopi af ISO-filen uden passiveMode
-konfigurationen og gemme den på en sikker placering. Denne kopi af ISO-filen uden passiveMode
konfigureret kan hjælpe i en hurtig failover-proces under katastrofegenoprettelse. Se Katastrofegendannelse ved hjælp af Standby Data Center for detaljerede failover-procedurer.
Proxy-support
Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.
Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:
-
Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.
-
Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.
-
Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
-
Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
-
Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.
-
Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.
-
Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
-
HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.
-
HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.
-
-
Godkendelsestype – vælg mellem følgende godkendelsestyper:
-
Ingen – ingen yderligere godkendelse er påkrævet.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
-
Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.
Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
Kræver, at du indtaster brugernavn og adgangskode på hver knude.
-
Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.
Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.
Kræver, at du indtaster brugernavn og adgangskode på hver knude.
-
-
Eksempel på hybrid-data sikkerheds knuder og proxy
Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.
Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)
Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.
Forbered dit miljø
Krav til hybrid-datasikkerhed
Cisco Webex-licenskrav
Sådan udrulles hybrid-datasikkerhed:
-
Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav til Docker Desktop
Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".
X.509 Certifikatkrav
Certifikatkæden skal opfylde følgende krav:
Krav |
Detaljer |
---|---|
|
Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. CN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsudrulningerne. |
|
KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er. |
|
Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet. |
KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.
Krav til virtuel vært
De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:
-
Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter
-
VMware ESXi 6.5 (eller nyere) installeret og kører.
Du skal opgradere, hvis du har en tidligere version af ESXi.
-
Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server
Krav til databaseserver
Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.
Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen) |
HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 |
JDBC-driver 4.6 til SQL Server Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper). |
Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server
Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:
-
HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.
-
Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.
-
De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).
-
Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.
HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.
Krav til ekstern forbindelse
Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:
Applikation |
Protokol |
Port |
Retning fra appen |
Destination |
---|---|---|---|---|
Hybrid-datasikkerhedstjeneste |
TCP |
443 |
Udgående HTTPS og WSS |
|
HDS-opsætningsværktøj |
TCP |
443 |
Udgående HTTPS |
|
Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.
URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:
Område |
URL-adresser til fælles identitet |
---|---|
Nord-, Mellem- og Sydamerika |
|
EU |
|
Canada |
|
Proxy server krav
-
Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.
-
Gennemsigtig proxy – Cisco web Security-Appliance (WSA).
-
Eksplicit proxy-squid.
Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.
-
-
Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:
-
Ingen godkendelse med HTTP eller HTTPS
-
Grundlæggende godkendelse med HTTP eller HTTPS
-
Samlet godkendelse kun med HTTPS
-
-
For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.
-
Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
-
Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til
wbx2.com
ogciscospark.com
løse problemet.
Udfyld forudsætningerne for hybrid-datasikkerhed
1 |
Sørg for, at din Webex-organisation er aktiveret til Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces. |
2 |
Vælg et domænenavn til din HDS-udrulning (for eksempel |
3 |
Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært. |
4 |
Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter. |
5 |
For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. |
6 |
Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514). |
7 |
Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste. Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold. Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl. |
8 |
Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning. |
9 |
Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080. Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Din organisation har muligvis brug for en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger. For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse. |
10 |
Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver. |
11 |
Hvis din organisation bruger mappesynkronisering, skal du oprette en gruppe i Active Directory ved navn Taster for et givet rum indstilles af opretteren af rummet. Når du vælger pilotbrugere, skal du huske, at hvis du beslutter dig for permanent at deaktivere hybrid-datasikkerhedsudrulning, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugerne. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagrede kopier af indholdet. |
Opsæt en hybrid-datasikkerhedsklynge
Hybrid Data Security Deployment Task Flow
Før du begynder
1 |
Perform initial set up and download installation files Download the OVA file to your local machine for later use. |
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. |
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings. The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions. |
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. |
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. |
6 |
Konfigurer HDS-knudepunkt for proxy integration If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. |
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. |
8 |
Create and Register More Nodes Complete the cluster setup. |
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. |
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name. You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section. Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file. |
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
|
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Før du begynder
-
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
Indtast den relevante kommando for dit miljø i din maskines kommandolinje: I almindelige miljøer: I FedRAMP-miljøer: Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere. | ||||||||||
2 |
For at logge ind på Docker-billedregistreringen skal du indtaste følgende: | ||||||||||
3 |
I adgangskodeanmodningen skal du indtaste denne hash: | ||||||||||
4 |
Download det seneste stabilt billede til dit miljø: I almindelige miljøer: I FedRAMP-miljøer: | ||||||||||
5 |
Når træk er fuldført, indtast den relevante kommando for dit miljø:
Når beholderen kører, ser du "Express-serveren lytter på port 8080." | ||||||||||
6 |
The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost. Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||
18 |
For at lukke opsætningsværktøjet skal du taste |
Næste trin
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it.
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. |
2 |
Select File > Deploy OVF Template. |
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. |
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. |
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. |
6 |
Verify the template details and then click Next. |
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. |
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. |
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. |
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console. The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions. |
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Fejlfindingstip You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Før du begynder
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
Næste trin
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Konfigurer HDS-knudepunkt for proxy integration
Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.
Før du begynder
-
See Proxy Support for an overview of the supported proxy options.
1 |
Indtast URL-adresse til opsætning af HDS-knude |
2 |
Gå til Trust store & proxy, og vælg derefter en valgmulighed:
Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy. |
3 |
Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen. |
4 |
Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet. Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft. |
6 |
Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar. Knuden genstarter inden for et par minutter. |
7 |
Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status. Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Før du begynder
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Log på https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.
Før du begynder
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Næste trin
Kør en prøveversion, og flyt til produktion
Proces til produktionsopgaveproces
Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, tilføje brugere til den og begynde at bruge den til at teste og bekræfte din installation som forberedelse til at gå over til produktion.
Før du begynder
1 |
Hvis relevant, skal du synkronisere Hvis din organisation bruger katalogsynkronisering for brugere, skal du vælge |
2 |
Start en prøveversion. Indtil du udfører denne opgave, genererer dine knudepunkter en alarm, der angiver, at tjenesten endnu ikke er aktiveret. |
3 |
Test din udrulning af hybrid-datasikkerhed Kontrollér, at vigtige anmodninger overføres til din hybrid-datasikkerhedsudrulning. |
4 |
Overvåg sundheden for hybrid-datasikkerhed Kontrollér status, og konfigurer e-mailunderretninger for alarmer. |
5 | |
6 |
Fuldfør prøvefasen med en af følgende handlinger: |
Aktivér prøveversion
Før du begynder
Hvis din organisation bruger katalogsynkronisering for brugere, skal du vælge gruppeobjektet HdsTrialGroup
til synkronisering med skyen, før du kan starte en prøveversion for din organisation. For vejledninger, se Installationsvejledning til Cisco Directory Connector.
1 |
Log ind på https://admin.webex.com, og vælg derefter Tjenester. |
2 |
Under hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
Klik på Start prøveversion i afsnittet Tjenestestatus. Tjenestestatussen ændres til tilstanden prøveversion.
|
4 |
Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at starte med at bruge dine hybrid-datasikkerhedstjeneste til kryptering og indekseringstjenester. (Hvis din organisation bruger mappesynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, |
Test din udrulning af hybrid-datasikkerhed
Før du begynder
-
Opsæt din hybrid-datasikkerhedsudrulning.
-
Aktivér prøveversionen, og tilføj flere brugere af prøveversionen.
-
Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din hybrid-datasikkerhedsudrulning.
1 |
Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum, og inviter mindst én pilotbruger og én ikke-pilotbruger. Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes. |
2 |
Send meddelelser til det nye rum. |
3 |
Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning. |
Overvåg sundheden for hybrid-datasikkerhed
1 |
I Control Hub skal du vælge Tjenester fra menuen i venstre side af skærmen. |
2 |
I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
|
3 |
I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter. |
Tilføj eller fjern brugere fra din prøveversion
Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.
Hvis din organisation bruger mappesynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup
. Du kan se gruppemedlemmerne i Control Hub, men du kan ikke tilføje eller fjerne dem.
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
I afsnittet Prøveversionstilstand i området Tjenestestatus skal du klikke på Tilføj brugere eller klikke på Vis og rediger for at fjerne brugere fra prøveversionen. |
4 |
Indtast e-mailadressen på en eller flere brugere, der skal tilføjes, eller klik på X ved et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem. |
Flyt fra prøveversion til produktion
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
I afsnittet Tjenestestatus skal du klikke på Flyt til produktion. |
4 |
Bekræft, at du vil flytte alle dine brugere til produktion. |
Afslut prøveversionen uden at gå til produktion
1 |
Log ind på Control Hub, og vælg derefter Tjenester. |
2 |
Under hybrid-datasikkerhed skal du klikke på Indstillinger. |
3 |
I afsnittet Deaktiver skal du klikke på Deaktiver. |
4 |
Bekræft, at du vil deaktivere tjenesten, og afslut prøveversionen. |
Administrer din HDS-udrulning
Administrer HDS-udrulning
Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.
Indstil tidsplan for klyngeopgradering
Sådan opsættes opgraderingsplanen:
1 |
Log ind på Control Hub. |
2 |
På siden Oversigt under Hybrid-tjenester skal du vælge Hybrid-datasikkerhed. |
3 |
Vælg klyngen på siden Hybrid-datasikkerhedsressourcer. |
4 |
I oversigtspanelet til højre under Klyngeindstillinger skal du vælge klyngenavnet. |
5 |
Vælg tidspunkt og tidszone for opgraderingsplanen på siden Indstillinger under Opgradering. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udskyde opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt. |
Skift nodekonfigurationen
-
Ændring af x.509-certifikater pga. udløb eller andre årsager.
Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.
-
Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.
Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.
-
Oprettelse af en ny konfiguration for at forberede et nyt datacenter.
Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:
-
Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.
-
Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.
Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.
Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.
Før du begynder
-
HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.
Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uden godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uden godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med godkendelse
GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med godkendelse
GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT
-
Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.
1 |
Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet. |
2 |
Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter. |
3 |
For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra: |
4 |
Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration. |
Slå blokeret ekstern DNS-opløsnings tilstand fra
Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.
Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.
Før du begynder
1 |
I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind. |
2 |
Gå til Oversigt (standardsiden). Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja. |
3 |
Gå til siden Trust store & proxy . |
4 |
Klik på Kontroller proxy forbindelse. Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden. |
Næste trin
Fjern et knudepunkt
1 |
Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine. |
2 |
Fjern knuden: |
3 |
Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.) Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata. |
Katastrofegendannelse ved hjælp af standby-datacenter
Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.
Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:
Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.
1 |
Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter. |
2 |
Når Syslogd-serveren er konfigureret, skal du klikke på Avancerede indstillinger |
3 |
På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne konfigurationen
|
4 |
Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde. |
5 |
Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer. |
6 |
Højreklik på VMware vSphere-klientens venstre navigationsrude, og klik på Rediger indstillinger.. |
7 |
Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring. Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet. |
8 |
Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter. |
9 |
Gentag processen for hver node i standby-datacenteret. Kontrollér syslog-udgangen for at bekræfte, at noderne på standby-datacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i syslogs. |
Næste trin
(Valgfrit) Afmonter ISO efter HDS-konfiguration
Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.
Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.
Før du begynder
Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.
1 |
Luk en af dine HDS-knudepunkter. |
2 |
Vælg HDS-noden i vCenter-serverenheden. |
3 |
Vælg ISO-fil i datalagring. , og fjern markeringen af |
4 |
Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter. |
5 |
Gentag for hver HDS-knude ad gangen. |
Fejlfinding af hybrid-datasikkerhed
Vis varsler og fejlfinding
En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:
-
Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)
-
Meddelelser og rumtitler kan ikke dekrypteres for:
-
Nye brugere føjet til et rum (kunne ikke hente tasterne)
-
Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)
-
-
Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne
Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.
Varsler
Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.
Varsel |
Handling |
---|---|
Fejl ved lokal databaseadgang. |
Kontrollér, om der er databasefejl eller problemer med lokale netværk. |
Fejl i forbindelse med lokal database. |
Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen. |
Fejl i adgang til cloudtjeneste. |
Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse. |
Fornyelse af registrering af cloudtjeneste. |
Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang. |
Registrering af cloudtjeneste blev afbrudt. |
Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke. |
Tjenesten er endnu ikke aktiveret. |
Aktivér en prøveversion, eller afslut flytning af prøveversionen til produktion. |
Det konfigurerede domæne stemmer ikke overens med servercertifikatet. |
Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning. |
Kunne ikke godkende cloudtjenester. |
Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen. |
Kunne ikke åbne fil med lokal nøglelager. |
Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil. |
Lokalt servercertifikat er ugyldigt. |
Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed. |
Kan ikke sende målinger. |
Kontrollér lokal netværksadgang til eksterne cloudtjenester. |
/media/configdrive/hds-mappen findes ikke. |
Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt. |
Fejlfinding af hybrid-datasikkerhed
1 |
Gennemgå Control Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. |
2 |
Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. |
3 |
Kontakt Cisco-support. |
Andre bemærkninger
Kendte problemer med hybrid-datasikkerhed
-
Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan dine Webex-appbrugere ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder for både prøveinstallationer og produktionsudrulninger. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
-
En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedsprøve, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil der opstår timeout. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.
Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere, der ikke er prøveversioner, med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen forhandles igen (gennem timeout eller ved at logge ud og ind igen).
Brug OpenSSL til at generere en PKCS12-fil
Før du begynder
-
OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.
-
Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.
-
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.
-
Opret en privat nøgle.
-
Start denne procedure, når du modtager servercertifikatet fra dit CA.
1 |
Når du modtager servercertifikatet fra dit CA, skal du gemme det som |
2 |
Vis certifikatet som tekst, og bekræft detaljerne.
|
3 |
Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder
|
4 |
Opret .p12-filen med det venlige navn
|
5 |
Kontrollér servercertifikatoplysningerne. |
Næste trin
Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12
og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.
Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.
Trafik mellem HDS-noderne og skyen
Trafik for indsamling af udgående målinger
Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).
Indgående trafik
Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:
-
Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten
-
Opgraderinger til nodesoftwaren
Konfigurer Squid-proxyer for hybrid-data sikkerhed
WebSocket kan ikke oprette forbindelse via Squid-Proxy
Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:
)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS:
trafik til korrekt funktion af tjenesterne.
Squid 4 og 5
Føj on_unsupported_protocol
direktivet til squid.conf
:
on_unsupported_protocol tunnel alle
Squid 3.5.27
Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf
. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle